Se ha descubierto una vulnerabilidad crítica en Apache Struts que permite a atacantes desencadenar ataques de agotamiento de disco mediante una filtración de archivos en el procesamiento de solicitudes multipart, causando denegación de servicio. Este fallo afecta múltiples versiones, incluidas algunas con soporte finalizado, y no requiere autenticación previa para su explotación, poniendo en riesgo sistemas expuestos a Internet.
CVE y severidad
| CVE | Problema | Impacto | Severidad | Componentes afectados |
|---|---|---|---|---|
| CVE-2025-64775 | Filtración de archivos en procesamiento de solicitudes multipart que causa agotamiento de disco (DoS) | Denegación de servicio | Importante | Mecanismo de procesamiento multipart en Apache Struts |
Productos afectados
| Producto | Versiones afectadas | Estado |
|---|---|---|
| Apache Struts | 2.0.0 – 2.3.37 | Fin de vida (EOL) |
| Apache Struts | 2.5.0 – 2.5.33 | Fin de vida (EOL) |
| Apache Struts | 6.0.0 – 6.7.0 | Vulnerable |
| Apache Struts | 7.0.0 – 7.0.3 | Vulnerable |
Solución
Actualizar a Apache Struts versión 6.8.0 o superior dentro de la rama 6.x, o a la versión 7.1.1 o posterior.
Recomendaciones
Priorizar la aplicación del parche especialmente en aplicaciones expuestas a Internet, realizar pruebas exhaustivas en entornos de desarrollo antes del despliegue y monitorear el uso del disco para detectar anomalías si la actualización inmediata no es posible.