CVE-2025-64775

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Struts de 2.0.0 até 6.7.0 Versões do Apache Struts de 7.0.0 até 7.0.3

Descrição Existe uma falha de negação de serviço no Apache Struts devido à limpeza incompleta de recursos temporários ou auxiliares durante o processamento de requisições multipart. A exploração dessa falha pode levar ao esgotamento do disco como resultado de um vazamento de arquivos temporários. Aproximadamente 2,6 milhões de instâncias estão potencialmente expostas em todo o mundo. Um atacante pode enviar um fluxo de requisições multipart malformadas, fazendo com que o servidor crie numerosos arquivos temporários órfãos, preenchendo o disco por completo e potencialmente provocando a queda do servidor. A falha permite que atacantes não autenticados desencadeiem uma negação de serviço. O componente vulnerável processa requisições multipart/form-data e cria arquivos temporários, mas falha em excluí-los em caso de erros.

Recomendações Atualize para o Apache Struts versão 6.8.0 ou posterior. Atualize para o Apache Struts versão 7.1.1 ou posterior. Como solução temporária, limite o tamanho da partição de arquivos temporários. Como solução temporária, implemente limitação de taxa nos endpoints de requisições multipart. Como solução temporária, monitore o crescimento dos arquivos temporários.