CVE-2023-24998 Commons-FileUpload
CVE-2023-24998 Commons FileUpload Security Vulnerabilities 為什麼 Tomcat 會被影響 ? Apache Tomcat 實作了 Jakarta EE (原名為 Java EE) 規範的 Jakarta Servlet, Jakarta Standard Tag Library(JSTL), Jakarta WebSocket, Jakarta Authentication 4塊規範。其中 Tomcat Servlet container為了讓 Jakarta Servlet 原生有檔案上傳的功能,所以 Copy & Rename “Apache Commons FileUpload” 套件程式碼在 Tomcat 中 package 要 javax.* 改到 jakarta.* ? 因為 Oracle 開源授權問題讓 Eclipse 自立 “Jakarta EE” , package name 從 javax.* 改到 jakarta.* 的轉換是漸進式。 在 Jakarta EE 8 時, 命名空間 javax....