Se ha descubierto una vulnerabilidad de severidad crítica en Apache Struts. Un actor malicioso podría provocar una denegación de servicio en los servicios afectados.
Productos afectados
- Apache Struts 6.xx, versión 6.7.0 y anteriores
- Apache Struts 7.0.x, versión 7.0.3 y anteriores
- Apache Struts 2.5.x, versión 2.5.33 y anteriores
- Apache Struts 2.xx, versión 2.3.37 y anteriores
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-64775: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en el procesamiento de solicitudes multipart. El sistema no realiza una limpieza adecuada de archivos temporales, lo que provoca una fuga de archivos que puede agotar el espacio en disco. Un actor malicioso podría provocar una denegación de servicio al consumir toda la capacidad de almacenamiento del servidor afectado, interrumpiendo la disponibilidad del servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-64775
- https://cwiki.apache.org/confluence/display/WW/S2-068