Apache Struts 2’de, popüler web uygulaması çerçevesinin birden çok sürümünü etkileyen kritik bir hizmet reddi güvenlik açığı keşfedildi.
CVE-2025-64775 olarak tanımlanan güvenlik açığı, çok parçalı istek işlemede diskin tükenmesine ve sunucunun çökmesine neden olabilecek bir dosya sızıntısından yararlanıyor.
Etkilenen sürümleri çalıştıran kuruluşlar, olası hizmet kesintilerini önlemek için derhal yama uygulamasına öncelik vermelidir. Bu kusur, etkinleştirildiğinde Apache Struts 2’nin dosya yükleme işlevinde mevcuttur.
| Bağlanmak | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-64775 |
| Darbe | Hizmet Reddi |
| Şiddet | Önemli |
| Sabit Versiyonlar | Dikmeler 6.8.0+, Dikmeler 7.1.1+ |
| Yama Durumu | Geriye Uyumlu |
Çok parçalı istek işlemedeki bir dosya sızıntısı, saldırganların uygun temizleme veya kaynak yönetimi olmadan depolama kapasitesini doldurmasına izin vererek diskin tükenmesine neden olur.
Bu durum, disk alanı tükendiğinde sunucunun yasal istekleri işleyememesi nedeniyle hizmetin tamamen reddedilmesiyle sonuçlanır.
Güvenlik araştırmacısı Nicolas Fournier güvenlik açığını keşfetti. Bu danışma belgesi, Struts tabanlı uygulamaları dağıtan tüm Apache Struts 2 geliştiricileri, sistem yöneticileri ve kuruluşlar için kritik öneme sahiptir.
Dosya yükleme yetenekleri etkin olan herhangi bir kuruluş, ortamını derhal değerlendirmeli ve gerekli yamaları uygulamalıdır.
Dört ana sürüm hattındaki birden çok sürüm etkilendi.
| Sürümler | Durum | Tavsiye |
|---|---|---|
| Destekler 2.0.0 – 2.3.37 | EOL ve Savunmasız | Hemen yükseltin |
| Destekler 2.5.0 – 2.5.33 | EOL ve Savunmasız | Hemen yükseltin |
| Destekler 6.0.0 – 6.7.4 | Hassas | Güncelleme gerekli |
| Destekler 7.0.0 – 7.0.3 | Hassas | Güncelleme gerekli |
| 6.8.0+ veya 7.1.1+ | Güvenli | Önerilen minimum sürümleri kullanın |
Struts 2.0.0’dan 2.3.37’ye kadar olan sürümler etkilenmiştir, ancak bu sürüm serisi kullanım ömrünün sonuna gelmiştir. 2.5.0’dan 2.5.33’e kadar olan Strut’lar da savunmasızdır ancak benzer şekilde kullanım ömrünün sonu durumuna gelmiştir.
Daha da önemlisi, Struts 6.0.0’dan 6.7.4’e ve Struts 7.0.0’dan 7.0.3’e kadar olan sürümler aktif olarak korunur ve acil güncellemeler gerektirir. Kuruluşlar en azından Struts 6.8.0 veya Struts 7.1.1’e yükseltme yapmalıdır.
Yamalar geriye dönük olarak uyumludur ve mevcut işlevselliği bozmadan sorunsuz geçişler sağlar.
Hemen yükseltme yapamayanlar, sınırlı depolama alanına sahip özel geçici klasörler yapılandırarak veya işlemler için gerekli değilse dosya yükleme desteğini kapatarak geçici çözümler uygulayabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
