关键信息 CVE编号: CVE-2025-48988 漏洞类型: DoS in multipart upload 严重性: Important 厂商: The Apache Software Foundation 受影响版本: - Apache Tomcat 11.0.0-M1 to 11.0.7 - Apache Tomcat 10.1.0-M1 to 10.1.41 - Apache Tomcat 9.0.0.M1 to 9.0.105 描述: - Tomcat 对请求参数和 multipart 请求中的部分使用了相同的限制。由于上传的部分还包括必须保留的头部,处理 multipart 请求可能导致显著更多的内存使用。精心设计的请求使用大量部分可能触发过度内存使用,导致 DoS。 - 现在最大部分数量是可配置的( 在 Connector 上,默认为 10 部分)。 缓解措施: - 升级到 Apache Tomcat 11.0.8 或更高版本 - 升级到 Apache Tomcat 10.1.42 或更高版本 - 升级到 Apache Tomcat 9.0.106 或更高版本 发现者: Terasoluna Framework Security Team of NTT DATA Group Corporation 历史: - 2025-06-16 原始公告 参考链接: 1. https://tomcat.apache.org/security-11.html 2. https://tomcat.apache.org/security-10.html 3. https://tomcat.apache.org/security-9.html