文章总结： ApacheStruts2被曝XXE注入漏洞CVE-2025-68493，攻击者可窃取数据或发起DoS，影响多版本，官方已发布6.1.1修复，建议立即升级。 综合评分： 78 文章分类： 漏洞预警,WEB安全,应用安全

Apache Struts 2严重漏洞可能让攻击者窃取敏感数据

会杀毒的单反狗

军哥网络安全读报

2026年1月13日 09:02 湖北

导读

Apache Struts 2 中发现一个严重的 XML 外部实体 ( XXE ) 注入漏洞，这可能会使数百万个应用程序面临数据窃取和服务器入侵的风险。

该漏洞编号为 CVE-2025-68493，影响多个版本的广泛使用的框架，需要开发人员和系统管理员立即采取行动。

该安全漏洞存在于 Apache Struts 2 的 XWork 组件中，该组件负责处理XML 配置解析。该组件无法正确验证 XML 输入，使应用程序容易受到 XXE 注入攻击。

攻击者可以利用此漏洞访问存储在受影响服务器上的敏感信息，或发起拒绝服务攻击。ZAST.AI 的安全研究人员发现了该漏洞，并将其报告给了 Apache Struts 团队。

该漏洞可能对数据机密性和系统可用性造成影响，被评为“重要”等级。

该漏洞会影响全球各组织目前使用的各种 Struts 2 版本。运行这些版本中的任何组织都应立即优先进行安全更新。

成功利用 CVE-2025-68493 可能导致数据泄露、服务器端请求伪造（SSRF）和拒绝服务。

Apache 已发布Struts 6.1.1 作为修复版本。各组织应立即升级到此版本。该补丁保持了向后兼容性，确保顺利部署，不会破坏现有应用程序。

官方安全公告：

https://cwiki.apache.org/confluence/display/WW/S2-069

新闻链接：

Critical Apache Struts 2 Flaw Could Let Attackers Steal Sensitive Data

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《Apache Struts 2严重漏洞可能让攻击者窃取敏感数据》