【安全圈】Apache Struts 2曝高危漏洞：攻击者可窃取敏感数据

关键词

漏洞

Apache Struts 2 XML外部实体（XXE）注入漏洞（CVE-2025-68493）安全公告

已在 Apache Struts 2 中发现一个关键的 XML 外部实体（XXE）注入漏洞，该漏洞可能使数百万应用程序面临数据窃取和服务器被入侵的风险。 该漏洞被追踪为 CVE-2025-68493，影响该广泛使用的框架的多个版本，需要开发者和系统管理员立即采取行动。

漏洞概述

此安全缺陷存在于 Apache Struts 2 的 XWork 组件中，该组件负责处理 XML 配置解析。该组件未能正确验证 XML 输入，使应用程序易受 XXE 注入攻击。

CVE ID

漏洞类型

受影响组件

受影响版本

CVE-2025-68493

XML 外部实体（XXE）注入

XWork 组件

Struts 2.0.0–2.3.37, 2.5.0–2.5.33, 6.0.0–6.1.0

攻击者可利用此漏洞访问受影响服务器上存储的敏感信息，或发起拒绝服务攻击。ZAST.AI 的安全研究人员发现了此漏洞并向 Apache Struts 团队进行了报告。由于该漏洞可能对数据保密性和系统可用性造成重大影响，因此被评定为"重要"（Important）安全级别。

受影响版本范围

该漏洞影响全球各类组织中正在使用的多个 Struts 2 版本：

受影响版本范围

状态

Struts 2.0.0 – 2.3.37

已结束生命周期（End-of-Life）

Struts 2.5.0 – 2.5.33

已结束生命周期（End-of-Life）

Struts 6.0.0 – 6.1.0

活跃支持中（Active Support）

运行以上任何版本的组织应立即优先进行安全更新。

漏洞影响

成功利用 CVE-2025-68493 可能导致以下后果：

影响类型

描述

数据泄露（Data Disclosure）

攻击者可提取敏感配置文件、数据库凭证和应用程序密钥

服务器端请求伪造（SSRF）

可导致内部网络资源和系统被入侵

拒绝服务（DoS）

可利用恶意 XML 负载中断应用程序可用性

修复方案与缓解措施

Apache 已发布 Struts 6.1.1 作为修复版本，该版本维持了向后兼容性，可确保平滑部署，不会破坏现有应用程序。建议所有组织立即升级至该版本。

对于无法立即升级的组织，可实施以下临时缓解措施：

缓解方案

描述

自定义 SAXParserFactory

通过将xwork.saxParserFactory配置为一个自定义的SAXParserFactory工厂类来禁用外部实体解析

JVM 级配置

通过 JVM 系统属性全局禁用外部实体：

-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet=""

重要提示：
CVE-2025-68493 对全球 Struts 2 部署构成了严重威胁。安全团队应将即时修补作为最高优先级，对于无法立即升级的系统，应确保已实施上述缓解措施。建议各组织立即审查其 Struts 2 资产清单，并制定加速修补计划，以消除此关键漏洞的暴露风险。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！