关键词
漏洞
Apache Struts 2 XML外部实体(XXE)注入漏洞(CVE-2025-68493)安全公告
已在 Apache Struts 2 中发现一个关键的 XML 外部实体(XXE)注入漏洞,该漏洞可能使数百万应用程序面临数据窃取和服务器被入侵的风险。 该漏洞被追踪为 CVE-2025-68493,影响该广泛使用的框架的多个版本,需要开发者和系统管理员立即采取行动。
漏洞概述
此安全缺陷存在于 Apache Struts 2 的 XWork 组件中,该组件负责处理 XML 配置解析。该组件未能正确验证 XML 输入,使应用程序易受 XXE 注入攻击。
CVE ID
漏洞类型
受影响组件
受影响版本
CVE-2025-68493
XML 外部实体(XXE)注入
XWork 组件
Struts 2.0.0–2.3.37, 2.5.0–2.5.33, 6.0.0–6.1.0
攻击者可利用此漏洞访问受影响服务器上存储的敏感信息,或发起拒绝服务攻击。ZAST.AI 的安全研究人员发现了此漏洞并向 Apache Struts 团队进行了报告。由于该漏洞可能对数据保密性和系统可用性造成重大影响,因此被评定为"重要"(Important)安全级别。
受影响版本范围
该漏洞影响全球各类组织中正在使用的多个 Struts 2 版本:
受影响版本范围
状态
Struts 2.0.0 – 2.3.37
已结束生命周期(End-of-Life)
Struts 2.5.0 – 2.5.33
已结束生命周期(End-of-Life)
Struts 6.0.0 – 6.1.0
活跃支持中(Active Support)
运行以上任何版本的组织应立即优先进行安全更新。
漏洞影响
成功利用 CVE-2025-68493 可能导致以下后果:
影响类型
描述
数据泄露(Data Disclosure)
攻击者可提取敏感配置文件、数据库凭证和应用程序密钥
服务器端请求伪造(SSRF)
可导致内部网络资源和系统被入侵
拒绝服务(DoS)
可利用恶意 XML 负载中断应用程序可用性
修复方案与缓解措施
Apache 已发布 Struts 6.1.1 作为修复版本,该版本维持了向后兼容性,可确保平滑部署,不会破坏现有应用程序。建议所有组织立即升级至该版本。
对于无法立即升级的组织,可实施以下临时缓解措施:
缓解方案
描述
自定义 SAXParserFactory
通过将xwork.saxParserFactory配置为一个自定义的SAXParserFactory工厂类来禁用外部实体解析
JVM 级配置
通过 JVM 系统属性全局禁用外部实体:
-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet=""
重要提示:
CVE-2025-68493 对全球 Struts 2 部署构成了严重威胁。安全团队应将即时修补作为最高优先级,对于无法立即升级的系统,应确保已实施上述缓解措施。建议各组织立即审查其 Struts 2 资产清单,并制定加速修补计划,以消除此关键漏洞的暴露风险。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴