Apache Struts漏洞让攻击者可触发磁盘耗尽攻击
Apache Struts中的一个关键安全漏洞可能允许攻击者触发磁盘耗尽攻击,导致受影响系统无法使用。
该漏洞编号为CVE-2025-64775,源于多部分请求处理中的文件泄露,可导致拒绝服务状况。
Apache Struts研究人员在Apache Struts的多部分请求处理机制中发现了此漏洞。该缺陷允许攻击者利用文件处理操作,导致服务器上文件不受控制地累积。
关键缺陷导致磁盘耗尽攻击
随着磁盘空间耗尽,应用程序将变得无响应并崩溃,从而中断业务运营和服务。
该漏洞影响多个Struts版本,包括那些已到达生命周期终止状态的版本。运行不受支持版本的组织面临更高的风险,因为它们不再收到Apache的安全更新。
| 字段 | 详情 |
|---|---|
| CVE编号 | CVE-2025-64775 |
| 问题 | 多部分请求处理中的文件泄露导致磁盘耗尽(DoS) |
| 影响 | 拒绝服务 |
| 受影响软件 | Struts 2.0.0-2.3.37 (EOL), Struts 2.5.0-2.5.33 (EOL), Struts 6.0.0-6.7.0, Struts 7.0.0-7.0.3 |
所有基于Apache Struts框架维护应用程序的Struts 2开发人员、系统管理员和安全团队应立即评估其受CVE-2025-64775影响的风险。
该漏洞的安全评级为“重要”,可造成完全拒绝服务。攻击者无需身份验证即可利用此缺陷,这对面向互联网的应用程序来说尤其危险。
一旦被利用,组织将面临服务中断、潜在的数据丢失以及系统恢复期间的运营停机。
Apache Struts所有从2.0.0到2.3.37以及从2.5.0到2.5.33的版本均已生命周期终止(EOL),而6.0.0到6.7.0以及7.0.0到7.0.3版本目前易受攻击。运行EOL版本的组织还面临未修补漏洞带来的复合风险。
Apache软件基金会强烈建议升级到6.x分支中的Struts 6.8.0或更高版本。或者,组织可以升级到Struts 7.1.1或更高版本。
该补丁解决了文件泄露问题,同时保持了向后兼容性,确保现有应用程序无需代码修改即可继续运行。
安全团队应优先修补面向互联网的Struts应用程序,并在部署到生产环境之前在开发环境中进行彻底的测试。
无法立即升级的组织应实施对磁盘使用异常情况的监控,并考虑限制多部分请求大小等临时解决方案。
Apache Struts团队对披露响应迅速,发布了解决磁盘耗尽漏洞的修补版本。组织应将此视为高优先级补丁,并将其纳入下一个维护窗口。