Apache Struts’taki kritik bir güvenlik açığı, saldırganların disk tüketme saldırılarını tetikleyerek etkilenen sistemleri kullanılamaz hale getirmesine olanak tanıyabilir.
CVE-2025-64775 olarak takip edilen güvenlik açığı, çok parçalı istek işlemede hizmet reddi koşullarına olanak tanıyan bir dosya sızıntısından kaynaklanıyor.
Apache Struts araştırmacısı, Apache Struts’un çok parçalı istek işleme mekanizmasındaki güvenlik açığını keşfetti. Bu kusur, saldırganların dosya işleme operasyonlarından yararlanmasına olanak tanıyarak sunucuda kontrolsüz dosya birikmesine yol açar.
Kritik Kusur, Disk Tükenme Saldırılarına Olanak Sağlıyor
Disk alanı tükendikçe uygulamalar yanıt vermemeye başlar ve çöker, iş operasyonları ve hizmetler kesintiye uğrar.
Güvenlik açığı, kullanım ömrünün sonuna ulaşmış olanlar da dahil olmak üzere birden fazla Struts sürümünü etkiliyor.
Desteklenmeyen sürümleri çalıştıran kuruluşlar artık Apache’den güvenlik güncellemeleri alamadıkları için daha yüksek riskle karşı karşıyadır.
| Alan | Detaylar |
|---|---|
| CVE Tanımlayıcı | CVE-2025-64775 |
| Sorun | Çok parçalı istek işlemede dosya sızıntısı diskin tükenmesine (DoS) neden oluyor |
| Darbe | Hizmet reddi |
| Etkilenen Yazılım | Dikmeler 2.0.0-2.3.37 (EOL), Dikmeler 2.5.0-2.5.33 (EOL), Dikmeler 6.0.0-6.7.0, Dikmeler 7.0.0-7.0.3 |
Apache Struts çerçevesinde oluşturulmuş uygulamaları sürdüren tüm Struts 2 geliştiricileri, sistem yöneticileri ve güvenlik ekipleri, CVE-2025-64775’e maruz kalma durumlarını derhal değerlendirmelidir.
Güvenlik açığı Önemli bir güvenlik derecesine sahiptir ve hizmetin tamamen reddedilmesine neden olabilir. Saldırganların bu kusurdan yararlanmak için kimlik doğrulaması gerektirmemesi, onu özellikle internete yönelik uygulamalar için tehlikeli hale getiriyor.
Kuruluşlar bu durumdan yararlanıldıktan sonra sistem geri yüklemesi sırasında hizmet kesintileri, potansiyel veri kaybı ve operasyonel kesintilerle karşı karşıya kalır.
2.0.0 ila 2.3.37 ve 2.5.0 ila 2.5.33 arasındaki tüm Apache Struts sürümleri Kullanım Ömrü Sonu’dur (EOL), 6.0.0 ila 6.7.0 ve 7.0.0 ila 7.0.3 sürümleri ise şu anda savunmasızdır. EOL sürümlerini çalıştıran kuruluşlar, yama yapılmamış güvenlik açıklarından kaynaklanan artan risklerle karşı karşıyadır.
Apache Software Foundation, 6.x dalında Struts 6.8.0 veya daha yeni bir sürüme yükseltme yapmanızı şiddetle tavsiye eder. Alternatif olarak kuruluşlar Struts 7.1.1 veya sonraki bir sürüme yükseltme yapabilir.
Yama, geriye dönük uyumluluğu korurken dosya sızıntısı sorununu gidererek mevcut uygulamaların kod değişiklikleri olmadan çalışmaya devam etmesini sağlar.
Güvenlik ekipleri, internete yönelik Struts uygulamalarına yama uygulamaya öncelik vermeli ve üretime dağıtmadan önce geliştirme ortamlarında kapsamlı testler yapmalıdır.
Hemen yükseltme yapamayan kuruluşlar, disk kullanımındaki anormallikleri izlemeyi uygulamalı ve çok parçalı istek boyutlarını kısıtlamak gibi geçici çözümler düşünmelidir.
Apache Struts ekibi bu açıklamaya hızlı bir şekilde yanıt vererek disk tükenmesi güvenlik açığını çözen yamalı sürümleri yayınladı. Kuruluşlar bunu yüksek öncelikli bir yama olarak ele almalı ve bir sonraki bakım penceresine dahil etmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
