Uma falha crítica de segurança no Apache Struts pode permitir que invasores desencadeiem ataques de esgotamento de disco, inutilizando os sistemas afetados.
A vulnerabilidade, rastreada como CVE-2025-64775, decorre de um vazamento de arquivo no processamento de solicitações multipartes que permite condições de negação de serviço.
O pesquisador do Apache Struts descobriu a vulnerabilidade no mecanismo de processamento de solicitações multipartes do Apache Struts. A falha permite que invasores explorem operações de manipulação de arquivos, levando ao acúmulo descontrolado de arquivos no servidor.
Falha crítica permite ataques de exaustão de disco
À medida que o espaço em disco se esgota, os aplicativos param de responder e travam, interrompendo as operações e serviços comerciais.
A vulnerabilidade afeta várias versões do Struts, incluindo aquelas que atingiram o status de fim de vida.
As organizações que executam versões não suportadas enfrentam riscos aumentados, pois não recebem mais atualizações de segurança do Apache.
FieldDetailsCVE IdentifierCVE-2025-64775ProblemaVazamento de arquivo no processamento de solicitação multiparte causa exaustão de disco (DoS)ImpactoNegação de serviçoSoftware afetadoStruts 2.0.0-2.3.37 (EOL), Struts 2.5.0-2.5.33 (EOL), Struts 6.0.0-6.7.0, Struts 7.0.0-7.0.3
Todos os desenvolvedores do Struts 2, administradores de sistema e equipes de segurança que mantêm aplicativos construídos na estrutura Apache Struts devem avaliar imediatamente sua exposição ao CVE-2025-64775.
A vulnerabilidade tem uma classificação de segurança Importante e pode causar negação de serviço completa. Os invasores não exigem autenticação para explorar essa falha, tornando-a particularmente perigosa para aplicativos voltados para a Internet.
Uma vez exploradas, as organizações enfrentam interrupções de serviço, possível perda de dados e tempo de inatividade operacional durante a restauração do sistema.
Todas as versões do Apache Struts de 2.0.0 a 2.3.37 e 2.5.0 a 2.5.33 estão em fim de vida (EOL), enquanto as versões 6.0.0 a 6.7.0 e 7.0.0 a 7.0.3 estão atualmente vulneráveis. As organizações que executam versões EOL enfrentam riscos crescentes decorrentes de vulnerabilidades não corrigidas.
A Apache Software Foundation recomenda fortemente a atualização para o Struts 6.8.0 ou mais recente na ramificação 6.x. Alternativamente, as organizações podem atualizar para o Struts 7.1.1 ou posterior.
O patch resolve o problema de vazamento de arquivos, mantendo a compatibilidade com versões anteriores, garantindo que os aplicativos existentes continuem a funcionar sem modificações no código.
As equipes de segurança devem priorizar a correção de aplicativos Struts voltados para a Internet e realizar testes completos em ambientes de desenvolvimento antes de implantá-los em produção.
As organizações que não conseguem atualizar imediatamente devem implementar o monitoramento de anomalias de uso do disco e considerar soluções alternativas temporárias, como restringir tamanhos de solicitações multipartes.
A equipe do Apache Struts respondeu rapidamente à divulgação, lançando versões corrigidas que resolvem a vulnerabilidade de esgotamento do disco. As organizações devem tratar isso como um patch de alta prioridade e incluí-lo na próxima janela de manutenção.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
