XML陷阱：关键的Struts 2漏洞CVE-2025-68493暴露数据

一个新漏洞已出现在全球最受欢迎的Java框架之一的基础中。ZAST.安全 AI研究人员发现Apache Struts 2存在一个“严重”级别的漏洞,并警告称，该漏洞漏洞可能使攻击者窃取敏感数据，或对企业应用发起毁灭性的拒绝服务攻击。

该漏洞编号为CVE-2025-68493，针对的是XWork组件，即为Struts提供支持的命令模式框架。该问题源于对XML配置的处理不当，致使系统极易受到XML外部实体（XXE）注入攻击。

从根本上说，该漏洞是由于验证机制存在缺陷所致。报告指出，“XWork组件中XML配置的解析未对XML进行恰当的验证”，从而为攻击者注入恶意外部实体创造了条件。”

当应用程序处理受污染的XML文件时，可能会被诱骗去获取外部资源。这可能导致三种严重的安全问题：“数据泄露、拒绝服务、服务器端请求伪造”。

这意味着攻击者可能迫使 服务器泄露本地文件、因资源耗尽而崩溃，或向防火墙后隐藏的内部系统发出未经授权的请求。

此漏洞的攻击半径很大，影响了多个版本的Struts，包括那些已进入生命周期结束（EOL）的版本。受影响的软件列表包括：

Struts 2.0.0 至 2.3.37（已结束生命周期）

Struts 2.5.0 至 2.5.33（已结束生命周期）

Struts 6.0.0 至 6.1.0

Apache Struts 团队建议各组织“至少升级到 Struts 6.1.1”，以彻底堵住安全漏洞。幸运的是，报告指出，“此更改向后兼容”，这意味着升级不会破坏现有应用程序。

对于那些因种种原因无法立即升级到最新版本的团队，仍有一线生机。 workaround措施包括使用自定义的SAXParserFactory来禁用外部实体，或通过设置JVM级别的配置，利用诸如-Djavax.xml.accessExternalDTD=””之类的系统属性阻止对外部DTD和Schema的访问。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/