Apache Struts Flaw Allows Attackers to Launch Disk Exhaustion Attacks
2025/12/02 gbhackers — Apache Struts に発見されたセキュリティ脆弱性 CVE-2025-64775 を悪用する攻撃者は、サーバのディスク容量を圧迫して正常な動作を妨げる可能性がある。Apache Struts は人気のオープンソース Web アプリケーション・フレームワークであり、世界中の多くの企業で使用されているため、この脆弱性の影響の大きさが懸念されている。
マルチパート・リクエストは、ユーザーが Web フォーム経由でファイルをアップロードする際に頻繁に使用されるものだ。この処理の最中に発生するファイル・リークにより、一時ファイルが正しくクリーンアップされない可能性がある。
この動作を悪用する攻撃者は、大量の一時ファイルを作成してディスク容量を枯渇させる可能性がある。このような状況に陥ったサーバは、データやログの保存が不可能となり、サービス拒否 (DoS) 攻撃が引き起こされる。つまり、Apache Struts を使用する Web サイトやアプリケーションに遅延や不安定化が発生し、通常のユーザーによる利用が不能になる恐れがある。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-64775 |
| Vulnerability Title | Apache Struts flaw allows attackers to launch disk exhaustion (DoS) attacks |
| Vendor / Project | Apache Software Foundation |
| Product | Apache Struts 2 |
Apache Struts チームは、この脆弱性のセキュリティ影響度を Important と評価し、すべてのユーザーに対してアップグレードなどを強く推奨している。
Apache Struts 開発者 Lukasz Lenart のアドバイザリ (最終更新日: 2025年11月11日) によると、この問題は Struts がマルチパート・リクエストの処理に起因するとされる。
この脆弱性は幅広い Struts バージョンに影響する。具体的には以下の通りである。
- Struts 2.0.0~2.3.37 (現在サポート終了)
- Struts 2.5.0~2.5.33 (同様にサポート終了)
- Struts 6.0.0~6.7.0
- Struts 7.0.0~7.0.3
この脆弱性は Nicolas Fournier により報告されたが、現時点で回避策は存在しない。つまり、設定変更や小規模なパッチ適用では問題を回避できない。
推奨される唯一の解決策は、修正済みの Struts バージョンへのアップグレードである。プロジェクトのメンテナーは、すべてのユーザーに対し、以下のバージョンへの移行を推奨している。
- Struts 6.x ラインでは Struts 6.8.0 以降
- Struts 7.x ラインでは Struts 7.1.1 以降
Apache Struts チームは、「これらのアップデートは下位互換性があるため、アップグレード後のアプリケーションは、多くのケースにおいて従来通り動作する」と述べている。
その一方で、セキュリティ専門家たちが警告するのは、サポートが終了した古い Struts バージョン (2.3.x/2.5.x など) の取り扱いである。それらのバージョンを使用している組織は、セキュリティ修正が提供されないため、高いリスクに直面すると予測される。
ユーザー企業は自社システムを点検し、脆弱な Struts バージョンの使用箇所を特定した上で、可能な限り早期にアップグレードを計画すべきである。それにより、ディスク枯渇攻撃による業務中断のリスクは軽減される。
Apache Struts における、一時ファイルのクリーンアップ不備の問題が発生しています。特に、マルチパート・リクエスト処理中のファイル・リークにより不要な一時ファイルが蓄積し、結果としてディスク容量が枯渇してしまう点が懸念されています。このような挙動が積み重なるだけでサービス停止につながると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Apache Struts での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.