Dünya çapında birçok şirket tarafından kullanılan popüler açık kaynaklı web uygulama çerçevesi Apache Struts’ta yeni bir güvenlik açığı bulundu.
CVE‑2025‑64775 olarak takip edilen sorun, saldırganların sunucunun disk alanını doldurmasına ve sunucunun düzgün çalışmasının durmasına neden olabilir.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-64775 |
| Güvenlik Açığı Başlığı | Apache Struts kusuru, saldırganların disk tüketme (DoS) saldırıları başlatmasına olanak tanır |
| Satıcı / Proje | Apache Yazılım Vakfı |
| Ürün | Apache Struts 2 |
Çok parçalı istekler genellikle kullanıcılar web formları aracılığıyla dosya yüklediğinde kullanılır. Bu işlem sırasında dosya sızıntısı nedeniyle geçici dosyalar doğru şekilde temizlenemeyebilir.
Saldırgan, disk dolana kadar çok sayıda büyük geçici dosya oluşturmak için bu davranışı kötüye kullanabilir.
Disk dolduğunda, sunucu artık verileri veya günlükleri depolayamaz ve bu da hizmet reddi (DoS) saldırısına yol açar. Başka bir deyişle, Struts kullanan web sitesi veya uygulama yavaşlayabilir, kararsız hale gelebilir veya normal kullanıcılar için tamamen kullanılamaz hale gelebilir.
Apache Struts ekibi bu kusurun maksimum güvenlik etkisini “Önemli” olarak değerlendirdi. En yüksek “Kritik” kategorisinde olmasa da, tüm kullanıcıların harekete geçmesini şiddetle tavsiye edecek kadar şiddetlidir.
Apache Struts geliştiricisi Lukasz Lenart’ın en son 11 Kasım 2025’te güncellenen tavsiyesine göre sorun, Struts’un çok parçalı istekleri işleme biçiminden kaynaklanıyor.
Güvenlik açığı, aşağıdakiler de dahil olmak üzere çok çeşitli Struts sürümlerini etkilemektedir:
- Payandalar 2.0.0’dan 2.3.37’ye (artık kullanım ömrü sonu)
- Destekler 2.5.0 ila 2.5.33 (aynı zamanda kullanım ömrünün sonu)
- Destekler 6.0.0’dan 6.7.0’a
- Destekler 7.0.0’dan 7.0.3’e
Nicolas Fournier kusuru bildirdi ve şu anda herhangi bir geçici çözüm mevcut değil. Bu, kullanıcıların sorunu önlemek için yalnızca bir yapılandırma ayarını değiştiremeyeceği veya küçük bir yama uygulayamayacağı anlamına gelir.
Bunun yerine önerilen tek çözüm Struts’un sabit bir sürümüne yükseltmektir. Proje yöneticileri tüm kullanıcılara şuraya geçmelerini tavsiye ediyor:
- 6.x satırındaki Struts 6.8.0 veya üstü veya
- 7.x satırındaki Struts 7.1.1 veya üstü.
Ekip, bu güncellemelerin geriye dönük olarak uyumlu olduğunu, dolayısıyla uygulamaların çoğu durumda yükseltmeden sonra eskisi gibi çalışmaya devam etmesi gerektiğini belirtiyor.
Güvenlik uzmanları, hala eski, desteklenmeyen Struts sürümlerini (2.3.x veya 2.5.x gibi) çalıştıran kuruluşların, bu şubelere artık güvenlik düzeltmeleri verilmemesi nedeniyle daha da yüksek riskle karşı karşıya olduğu konusunda uyarıyor.
Şirketlerin sistemlerini gözden geçirmeleri, savunmasız Struts sürümlerinin herhangi bir kullanımını belirlemeleri ve yıkıcı bir disk tüketme saldırısı olasılığını azaltmak için yükseltmeleri mümkün olan en kısa sürede planlamaları teşvik ediliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.