Μια κρίσιμη ευπάθεια άρνησης υπηρεσίας ανακαλύφθηκε στο Apache Struts 2, που επηρεάζει πολλαπλές εκδόσεις του δημοφιλούς πλαισίου εφαρμογών ιστού.
Η ευπάθεια, που προσδιορίζεται ως CVE-2025-64775, εκμεταλλεύεται μια διαρροή αρχείου στην επεξεργασία αιτημάτων πολλαπλών τμημάτων που μπορεί να προκαλέσει εξάντληση του δίσκου και σφάλματα διακομιστή.
Οι οργανισμοί που εκτελούν εκδόσεις που επηρεάζονται θα πρέπει να δώσουν προτεραιότητα στην άμεση ενημέρωση κώδικα για να αποτρέψουν πιθανές διακοπές της υπηρεσίας. Το ελάττωμα υπάρχει στη λειτουργία μεταφόρτωσης αρχείων του Apache Struts 2 όταν είναι ενεργοποιημένη.
| Ιδιότης | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-64775 |
| Σύγκρουση | Άρνηση υπηρεσίας |
| Αυστηρότητα | Σπουδαίος |
| Διορθώσεις εκδόσεων | Struts 6.8.0+, Struts 7.1.1+ |
| Κατάσταση ενημέρωσης κώδικα | Συμβατό προς τα πίσω |
Μια διαρροή αρχείου στην επεξεργασία αιτημάτων πολλαπλών μερών προκαλεί εξάντληση του δίσκου επιτρέποντας στους εισβολείς να γεμίσουν τη χωρητικότητα αποθήκευσης χωρίς σωστή εκκαθάριση ή διαχείριση πόρων.
Αυτό οδηγεί σε πλήρη άρνηση παροχής υπηρεσιών, καθώς ο διακομιστής δεν μπορεί να επεξεργαστεί νόμιμες αιτήσεις όταν εξαντληθεί ο χώρος στο δίσκο.
Ερευνητής ασφαλείας Nicolas Fournier ανακαλυφθείς την ευπάθεια. Αυτή η συμβουλή είναι ζωτικής σημασίας για όλους τους προγραμματιστές του Apache Struts 2, τους διαχειριστές συστημάτων και τους οργανισμούς που αναπτύσσουν εφαρμογές που βασίζονται σε Struts.
Οποιοσδήποτε οργανισμός με ενεργοποιημένες τις δυνατότητες μεταφόρτωσης αρχείων θα πρέπει να αξιολογήσει αμέσως το περιβάλλον του και να εφαρμόσει τις απαραίτητες ενημερώσεις κώδικα.
Επηρεάζονται πολλαπλές εκδόσεις σε τέσσερις κύριες γραμμές κυκλοφορίας.
| εκδόσεις | Κατάσταση | Σύσταση |
|---|---|---|
| Struts 2.0.0 – 2.3.37 | EOL & Ευάλωτο | Αναβάθμιση άμεσα |
| Struts 2.5.0 – 2.5.33 | EOL & Ευάλωτο | Αναβάθμιση άμεσα |
| Αντηρίδες 6.0.0 – 6.7.4 | Τρωτός | Απαιτείται ενημέρωση |
| Αντηρίδες 7.0.0 – 7.0.3 | Τρωτός | Απαιτείται ενημέρωση |
| 6.8.0+ ή 7.1.1+ | Ασφαλής | Χρησιμοποιήστε ελάχιστες προτεινόμενες εκδόσεις |
Τα Struts 2.0.0 έως 2.3.37 επηρεάζονται, αν και αυτή η γραμμή έκδοσης έφτασε στο τέλος της ζωής του. Τα Struts 2.5.0 έως 2.5.33 είναι επίσης ευάλωτα, αλλά παρομοίως έχουν φτάσει στο τέλος του κύκλου ζωής τους.
Πιο κρίσιμα, τα Struts 6.0.0 έως 6.7.4 και Struts 7.0.0 έως 7.0.3 διατηρούνται ενεργά και απαιτούν άμεσες ενημερώσεις. Οι οργανισμοί θα πρέπει να αναβαθμίσουν σε Struts 6.8.0 ή Struts 7.1.1 τουλάχιστον.
Τα patches είναι συμβατά προς τα πίσω, εξασφαλίζοντας ομαλές μεταβάσεις χωρίς να παραβιάζουν την υπάρχουσα λειτουργικότητα.
Όσοι δεν μπορούν να κάνουν άμεση αναβάθμιση μπορούν να εφαρμόσουν λύσεις διαμορφώνοντας αποκλειστικούς προσωρινούς φακέλους με περιορισμένο χώρο αποθήκευσης ή απενεργοποιώντας την υποστήριξη μεταφόρτωσης αρχείων, εάν δεν απαιτείται για λειτουργίες.
