Kritická bezpečnostná chyba v Apache Struts by mohla umožniť útočníkom spustiť útoky na vyčerpanie disku, čím by sa postihnuté systémy stali nepoužiteľnými.
Zraniteľnosť, sledovaná ako CVE-2025-64775, pochádza z úniku súboru pri spracovávaní viacdielnych požiadaviek, ktoré umožňuje podmienky odmietnutia služby.
Výskumník Apache Struts objavil zraniteľnosť v mechanizme spracovania viacerých požiadaviek Apache Struts. Chyba umožňuje útočníkom využívať operácie spracovania súborov, čo vedie k nekontrolovanému hromadeniu súborov na serveri.
Kritická chyba umožňuje útoky na vyčerpanie disku
Keď sa miesto na disku vyčerpá, aplikácie prestanú reagovať a padať, čo naruší obchodné operácie a služby.
Zraniteľnosť ovplyvňuje viacero verzií Struts, vrátane tých, ktoré dosiahli stav konca životnosti.
Organizácie používajúce nepodporované verzie čelia zvýšenému riziku, pretože už nedostávajú bezpečnostné aktualizácie od Apache.
FieldDetailsCVE IdentifierCVE-2025-64775ProblemFile leak pri spracovaní viacdielnych požiadaviek spôsobuje vyčerpanie disku (DoS) ImpactDenial of serviceOvplyvnený SoftwareStruts 2.0.0-2.3.37 (EOL), Struts 2.5.0-2.5.33 (EOL), Struts.0, 6.7.0 7.0.0-7.0.3
Všetci vývojári Struts 2, správcovia systému a bezpečnostné tímy, ktoré spravujú aplikácie postavené na frameworku Apache Struts, by mali okamžite posúdiť svoje vystavenie sa CVE-2025-64775.
Zraniteľnosť má hodnotenie bezpečnosti Dôležité a môže spôsobiť úplné odmietnutie služby. Útočníci nevyžadujú žiadnu autentifikáciu na zneužitie tejto chyby, takže je obzvlášť nebezpečná pre aplikácie orientované na internet.
Po zneužití zaznamenajú organizácie počas obnovy systému výpadky služieb, potenciálnu stratu údajov a výpadky prevádzky.
Všetky verzie Apache Struts od 2.0.0 do 2.3.37 a 2.5.0 až 2.5.33 sú na konci životnosti (EOL), zatiaľ čo verzie 6.0.0 až 6.7.0 a 7.0.0 až 7.0.3 sú v súčasnosti zraniteľné. Organizácie používajúce verzie EOL čelia zloženým rizikám z neopravených zraniteľností.
Apache Software Foundation dôrazne odporúča upgrade na Struts 6.8.0 alebo novší v rámci vetvy 6.x. Alternatívne môžu organizácie upgradovať na Struts 7.1.1 alebo novší.
Oprava rieši problém s únikom súborov a zároveň zachováva spätnú kompatibilitu a zabezpečuje, že existujúce aplikácie budú naďalej fungovať bez úprav kódu.
Bezpečnostné tímy by mali uprednostňovať opravy aplikácií Struts pre internet a vykonať dôkladné testovanie vo vývojových prostrediach pred nasadením do produkcie.
Organizácie, ktoré nie sú schopné okamžite inovovať, by mali implementovať monitorovanie anomálií využitia disku a zvážiť dočasné riešenia, ako je obmedzenie veľkostí požiadaviek s viacerými časťami.
Tím Apache Struts rýchlo zareagoval na odhalenie a vydal opravené verzie, ktoré riešia zraniteľnosť pri vyčerpaní disku. Organizácie by to mali považovať za záplatu s vysokou prioritou a zahrnúť ju do svojho ďalšieho okna údržby.
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
