文章总结： ZAST.AI发现ApacheStruts2存在严重漏洞CVE-2025-68493，因XWork组件未正确验证XML配置导致XXE注入。该漏洞可引发数据泄露、DoS和SSRF，影响多个旧版本及6.1.0以下版本。建议立即升级至Struts6.1.1或配置JVM禁用外部DTD访问以修复风险。 综合评分： 85 文章分类： 漏洞分析,WEB安全,漏洞预警

XML陷阱：Struts 2关键漏洞CVE-2025-68493暴露数据

Ots安全

2026年1月13日 11:53 广东

威胁简报

恶意软件

漏洞攻击

网络最流行的Java框架之一的底层出现了一个新的漏洞。ZAST.AI的安全研究人员发现Apache Struts 2中存在一个“重要”级别的漏洞，并警告称该漏洞可能允许攻击者窃取敏感数据或对企业应用程序发起破坏性的拒绝服务攻击。

该漏洞编号为 CVE-2025-68493，针对 XWork 组件，XWork 是 Struts 框架的命令模式框架。该问题源于对 XML 配置处理不当，导致系统极易受到 XML 外部实体 (XXE) 注入攻击。

该漏洞的核心在于验证失败。报告指出，“XWork 组件中 XML 配置的解析未能正确验证 XML”，从而为攻击者注入恶意外部实体提供了可乘之机。

当应用程序处理被篡改的 XML 文件时，它可能会被诱骗去获取外部资源。这可能导致三重安全隐患：“数据泄露、拒绝服务攻击、服务器端请求伪造”。

这意味着攻击者有可能迫使服务器暴露本地文件、因资源耗尽而关闭，或者向隐藏在防火墙后面的内部系统发出未经授权的请求。

该漏洞的影响范围非常广泛，涉及多个 Struts 版本，包括已停止维护 (EOL) 的版本。受影响的软件列表包括：

• 支架 2.0.0 至 2.3.37（已停产）

• 支柱 2.5.0 至 2.5.33（已停产）

• 支柱 6.0.0 至 6.1.0

• Apache Struts 团队建议各组织“至少升级到 Struts 6.1.1 版本”，以彻底消除安全漏洞。值得庆幸的是，报告指出“此次升级向下兼容”，这意味着升级不会破坏现有应用程序。

• 对于那些仍然使用旧版本且无法立即升级的团队来说，还有一条出路。解决方法包括使用自定义的 SAXParserFactory 来禁用外部实体，或者定义 JVM 级别的配置，通过系统属性（例如 -Djavax.xml.accessExternalDTD=””）来阻止对外部 DTD 和 Schema 的访问。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《XML陷阱：Struts 2关键漏洞CVE-2025-68493暴露数据》