Apache Struts opravuje vysoce závažnou zranitelnost

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Apache Struts opravuje vysoce závažnou zranitelnost

Apache Struts verzemi 6.8.0 a 7.1.1 opravuje vysoce závažnou zranitelnost [1].

Apache Struts - DoS (CVE-2025-66675)

CVSS 8.2 (High)

Neautentizovanému vzdálenému útočníkovi je zasíláním speciálně vytvořených požadavků umožněno vykonat útok DoS [2][3]. Zranitelnost lze zneužít, je-li v rámci frameworku povolena podpora pro nahrávání souborů. Není-li okamžitá aktualizace možná, lze pro mitigaci rizika definovat dočasnou složku pro nahrávané soubory na vyhrazeném diskovém oddíle, omezit její maximální velikost, případně zcela zakázat podporu nahrávání souborů [2]. Zranitelnost je rozšířením původní CVE-2025-64775 [4].

Zranitelnost se nachází v produktu Apache Struts ve verzích (>=2.0.0 AND <=2.3.37) OR (>=2.5.0 AND <=2.5.33) OR (>=6.0.0 AND <=6.7.4) OR (>=7.0.0 AND <=7.0.3).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

Více informací:

CVE-2025-66675 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-459: Incomplete Cleanup at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 12. 2025.

Odkazy

Za CESNET-CERTS Michaela Ručková dne 15. 12. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Apache Struts opravuje vysoce závažnou zranitelnost

Apache Struts - DoS (CVE-2025-66675)

CVSS 8.2 (High)

Odkazy