概要

広く利用されているオープンソースのウェブアプリケーションフレームワークであるApache Strutsに、新たなセキュリティ欠陥が発見されました。この問題はCVE-2025-64775として追跡されており、攻撃者がサーバーのディスクスペースを占有し、システムを正常に機能不能に陥れるディスク枯渇（DoS）攻撃を可能にする可能性があります。

脆弱性の詳細

この脆弱性は、Strutsがマルチパートリクエストを処理する方法に起因します。ユーザーがウェブフォームを通じてファイルをアップロードする際に、一時ファイルが正しくクリーンアップされずにリークする問題が発生します。攻撃者はこの動作を悪用し、大量の一時ファイルを継続的に作成することで、最終的にサーバーのディスク容量を使い果たすことができます。ディスクが満杯になると、サーバーはデータやログを保存できなくなり、結果としてサービス拒否（DoS）状態に陥ります。これにより、Strutsを使用しているウェブサイトやアプリケーションは、通常のユーザーにとって動作が遅くなったり、不安定になったり、あるいは完全に利用できなくなったりする可能性があります。

Apache Strutsチームは、この脆弱性の最大セキュリティ影響度を「重要（Important）」と評価しており、最高カテゴリの「重大（Critical）」ではないものの、すべてのユーザーに早急な対応を強く推奨しています。

影響を受けるバージョン

Nicolas Fournier氏によって報告されたこの脆弱性は、現在回避策が存在しません。以下の広範囲のStrutsバージョンが影響を受けます。

• Struts 2.0.0 から 2.3.37 (サポート終了)
• Struts 2.5.0 から 2.5.33 (サポート終了)
• Struts 6.0.0 から 6.7.0
• Struts 7.0.0 から 7.0.3

対策と推奨事項

この脆弱性に対する唯一の推奨される解決策は、修正済みのStrutsバージョンへのアップグレードです。プロジェクトのメンテナーは、以下のバージョンへの移行を推奨しています。

• Struts 6.x系では 6.8.0以降
• Struts 7.x系では 7.1.1以降

これらのアップデートは下位互換性があるため、ほとんどの場合、アップグレード後も既存のアプリケーションは問題なく動作するとされています。

セキュリティ専門家は、古いサポート対象外のStrutsバージョン（2.3.xや2.5.xなど）を依然として実行している組織は、セキュリティ修正が提供されないため、さらに高いリスクに直面すると警告しています。企業は、脆弱なStrutsバージョンの使用を特定し、破壊的なディスク枯渇攻撃のリスクを軽減するために、できるだけ早くアップグレードを計画することが求められます。

---

元記事: https://gbhackers.com/apache-struts-flaw-launch-disk-exhaustion-attacks/