12/10/2025にApache Struts 2の脆弱性(Important: CVE-2025-66675)が公開されました。こちら、中身としてはCVE-2025-64775と同じですが、影響バージョンが間違っていた(本来は、2.0.0 – 6.7.4)ため、新しいCVE-IDとして採番され直したものになります。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
(参考:Apache Strutsの脆弱性(Important: CVE-2025-64775))
[過去関連リンク(最新5件)]
- Apache Strutsの脆弱性(Important: CVE-2025-64775)
- Strutsの脆弱性(Critical: CVE-2024-53677)
- Strutsの脆弱性(Critical: CVE-2023-50164)
- Strutsの脆弱性(Moderate: CVE-2023-41835)
- Strutsの脆弱性(Important: CVE-2023-34149, CVE-2023-34396)
- Struts 2のリモートコード実行の脆弱性情報(Important: CVE-2021-31805)
CVSS/プライオリティ
- CVE-2025-66675
- 影響するバージョン
- Struts 2.0.0 through Struts 2.3.37 (EOL)
- Struts 2.5.0 through Struts 2.5.33 (EOL)
- Struts 6.0.0 through Struts 6.7.4
- Struts 7.0.0 through Struts 7.0.3
- Priority/CVSS SCORE
- NVD(CVSSv4): Not disclosed
- NVD(CVSSv31): Not disclosed
- Red Hat(CVSSv4): Not disclosed
- Red Hat(CVSSv31): Not disclosed
- CVSS Vector
- NVD(CVSSv4): Not disclosed
- NVD(CVSSv31): Not disclosed
- Red Hat(CVSSv4): Not disclosed
- Red Hat(CVSSv31): Not disclosed
- EPSS Score/Percentile
- DATE(JST): 2025-12-09
- EPSS: Not Available
- Percentile: Not Available
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://www.cve.org/CVERecord?id=CVE-2025-66675
- マルチパートリクエスト処理におけるファイルリークによるディスク枯渇(DoS)
- ファイルアップロードのサポートが有効になっている場合、マルチパートリクエスト処理でのファイルリークによりディスクが枯渇します。
- 迂回策(Workaround)
- アップロードされたファイルを保存するためのテンポラリフォルダをサイズ制限付きで、或いはシステムファイルに影響を与えない専用ボリューム上に定義します。
- あるいは、この機能を使用していない場合は、フレームワーク内でファイルアップロードのサポートを無効にします。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
