Resumo
Foi divulgada uma vulnerabilidade de negação de serviço (DoS) no framework Apache Struts 2 que permite a atacantes causarem exaustão de disco via processamento inadequado de requisições multipart. Patches estão disponíveis e atualizações são recomendadas com prioridade.
Descoberta e escopo / O que mudou agora
O pesquisador Nicolas Fournier identificou a falha acompanhada do identificador CVE-2025-64775. A vulnerabilidade reside no processamento de requisições multipart do Struts 2 quando a funcionalidade de upload de arquivos está habilitada. Explorada, a falha permite que um atacante gere vazamento de arquivos temporários que esgotam o espaço em disco do servidor, resultando em indisponibilidade.
Vetor e exploração / Mitigações
Segundo o relatório, o vetor é uma requisição multipart especialmente construída que provoca um file leak no pipeline de upload. Não há indicação pública, nas fontes consultadas, de exploração massiva em produção — apenas a descrição técnica e as versões afetadas e corrigidas.
Mitigações imediatas recomendadas:
- Aplicar as versões corrigidas: Struts 6.8.0 ou superior e Struts 7.1.1 ou superior.
- Se não for possível atualizar de imediato: desabilitar suporte a upload de arquivos quando não for estritamente necessário ou configurar pastas temporárias dedicadas com cotas/lógica de limpeza para evitar exaustão de armazenamento.
Impacto e alcance / Setores afetados
A falha atinge múltiplas linhas de versão do Struts 2; o advisory lista desde versões antigas (2.0.0–2.3.37 e 2.5.0–2.5.33, ambas EOL) até ramos mantidos ativamente (6.x e 7.x). Isso amplia o alcance: aplicações legadas e modernas que usam Struts com uploads habilitados estão em risco de interrupção de serviço.
Como se trata de DoS por exaustão de recurso, o impacto típico é indisponibilidade parcial ou total do serviço (servidores incapazes de processar requisições legítimas). Ambientes com alta exposição pública a upload de arquivos — portais, aplicações empresariais e APIs — devem priorizar mitigação.
Limites das informações / O que falta saber
As fontes informam o mecanismo de ataque e as versões afetadas e corrigidas, mas não reportam métricas de exploração ativa ou incidentes públicos correlacionados até a data da publicação. Também não há, nas matérias citadas, proof‑of‑concepts públicos detalhados nem medições de facilidade de exploração em ambientes padrão.
Repercussão / Próximos passos
Equipes de desenvolvimento e operações devem:
- Inventariar aplicações que usam Apache Struts 2 e confirmar se o processamento de uploads está ativo;
- planejar atualização urgente para Struts 6.8.0+/7.1.1+; testar em ambiente controlado antes de implantação em produção;
- implementar workarounds temporários (pastas temporárias com limites, desligar uploads) quando a atualização imediata não for viável;
- monitorar logs de I/O e alertar para picos de criação de arquivos temporários que possam indicar tentativas de exploração.
O advisory destaca que os patches são retrocompatíveis, o que facilita a aplicação sem romper funcionalidades existentes, mas equipes devem seguir processos de teste comuns (QA, canary) antes do rollout em massa.
Fontes e atribuições
As informações foram extraídas do relatório técnico e advisory publicados pelo pesquisador mencionado e pela cobertura do site Cyber Security News. Não há declarações oficiais adicionais de incidentes públicas nas fontes consultadas.