文章总结： ApacheStruts2曝出拒绝服务漏洞CVE-2025-64775，攻击者可利用文件上传缺陷耗尽服务器磁盘空间致服务中断。该漏洞影响多个版本，官方已发布修复版本，建议立即升级至Struts6.8.0或7.1.1。临时措施包括隔离临时文件目录或禁用文件上传。此漏洞虽不致代码执行，但对系统可用性威胁严重。 综合评分： 86 文章分类： 漏洞分析,漏洞预警,WEB安全

Apache Struts 2曝拒绝服务漏洞

网安百色

2025年12月13日 18:53 广西

Apache Struts项目近日发布安全公告，修复了Struts 2框架中一个严重的拒绝服务（DoS）漏洞。该漏洞被追踪为CVE-2025-64775，攻击者可利用此缺陷耗尽服务器磁盘空间，导致应用程序崩溃或无响应。

漏洞技术细节

该问题源于框架处理多部分请求（常用于文件上传功能）的机制存在缺陷。根据Nicolas Fournier的报告，此过程中的文件泄露问题导致系统无法正确清理临时文件。在持续攻击或长时间运行后，这些未管理的临时文件将耗尽所有可用磁盘空间，最终导致应用程序及同一服务器上的其他服务停止运行。

Apache安全团队将此漏洞评级为”重要”（Important）。虽然该漏洞不会导致数据窃取或远程代码执行（RCE），但对系统可用性构成严重威胁。任何启用了文件上传功能的应用程序均可能遭受此类磁盘耗尽攻击。

受影响版本范围

该漏洞影响广泛的Struts 2版本，包括已终止支持（EOL）的分支：

• Struts 2.0.0 至 2.3.37（已终止支持）
• Struts 2.5.0 至 2.5.33（已终止支持）
• Struts 6.0.0 至 6.7.4
• Struts 7.0.0 至 7.0.3

紧急修复方案

开发人员应立即升级至以下安全版本：

• 升级至 Struts 6.8.0
• 升级至 Struts 7.1.1

临时缓解措施

若无法立即升级，管理员可采取以下临时解决方案：

1. 专用卷隔离

   ：为上传文件定义专用卷上的临时文件夹，并限制其大小，防止主系统文件受磁盘耗尽影响

2. 功能禁用

   ：在框架中关闭文件上传支持，可完全消除此风险

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

查看原文：《Apache Struts 2曝拒绝服务漏洞》