文章总结： ApacheStruts存在XML外部实体注入漏洞CVE-2025-68493，CVSS评分5.9。漏洞因XWork-Core组件XML解析器配置不当导致，攻击者可利用恶意XML数据实施数据泄露或SSRF攻击。影响范围涵盖2.0.0至6.1.0多个版本，目前POC及细节已公开，风险资产达万级。建议用户升级至6.1.1版本，或通过配置JVM参数禁用外部实体解析进行缓解。 综合评分： 85 文章分类： 漏洞预警,WEB安全,漏洞POC,应用安全

【已复现】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)

HACK之道

2026年1月14日 08:50 重庆

● 点击↑蓝字关注我们，获取更多安全风险通告

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Apache Struts XML外部实体注入漏洞 | | | | 漏洞编号 | QVD-2026-2972，CVE-2025-68493 | | | | 公开时间 | 2026-01-11 | 影响量级 | 万级 | | 奇安信评级 | 中危 | CVSS 3.1分数 | 5.9 | | 威胁类型 | 信息泄露 | 利用可能性 | 中 | | POC状态 | 已公开 | 在野利用状态 | 未发现 | | EXP状态 | 已公开 | 技术细节状态 | 已公开 | | 危害描述：攻击者可利用该漏洞，通过构造恶意的 XML 数据并发送至受影响的 Apache Struts 应用，触发 XML 外部实体注入，进而实现数据泄露、SSRF、拒绝服务等攻击。 | | | |

01

漏洞详情

>>>>

影响组件

Apache Struts 是一个开源的 MVC（Model-View-Controller）Web 应用框架，广泛用于构建 Java EE 企业级 Web 应用程序。它通过简化开发流程、提供强大的标签库和拦截器机制，帮助开发者快速构建结构清晰、可维护性高的动态网站。Struts 2 架构基于 XWork 命令模式框架，支持插件化扩展，并长期作为 Java Web 开发的主流选择之一。

>>>>

漏洞描述

近日，奇安信CERT监测到官方修复Apache Struts XML外部实体注入漏洞(CVE-2025-68493)，该漏洞源于 Apache Struts XWork-Core 组件中对 XML 解析器安全选项配置不当，攻击者可利用该漏洞，通过构造恶意的 XML 数据并发送至受影响的 Apache Struts 应用，触发 XML 外部实体注入，进而实现数据泄露、SSRF、拒绝服务等攻击。目前该漏洞PoC和技术细节已在互联网上公开，建议客户尽快做好自查及防护。

>>>>

利用条件

在自定义代码中使用了 com.opensymphony.xwork2.util.DomHelper.parse 危险函数

02

影响范围

>>>>

影响版本

2.0.0 <= Apache Struts <= 2.3.37（EOL）

2.5.0 <= Apache Struts <= 2.5.33（EOL）

6.0.0 <= Apache Struts <= 6.1.0

>>>>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Apache Struts XML外部实体注入漏洞(CVE-2025-68493)，截图如下：

04

受影响资产情况

奇安信鹰图资产测绘平台数据显示，Apache Struts XML外部实体注入漏洞(CVE-2025-68493)关联的国内风险资产总数为6015个，关联IP总数为2024个。国内风险资产分布情况如下：

Apache Struts XML外部实体注入漏洞(CVE-2025-68493)关联的全球风险资产总数为43966个，关联IP总数为24151个。全球风险资产分布情况如下：

05

处置建议

>>>>

安全更新

官方已发布安全补丁，请及时更新至最新版本：

Apache Struts >= 6.1.1

下载地址：

https://struts.apache.org/download.cgi

修复缓解措施：

对于暂时无法完成版本升级的用户，可采取以下临时缓解措施：

1.使用自定义 SAXParserFactory：配置系统属性xwork.saxParserFactory，指定一个默认禁用外部实体的自定义工厂类，阻止恶意外部实体的解析；

2.配置 JVM 级别的安全参数：通过设置系统属性禁用 XML 解析器对外部实体的访问，具体配置如下：

-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet=""

06

参考资料

[1]https://cwiki.apache.org/confluence/display/WW/S2-069

[2]http://www.openwall.com/lists/oss-security/2026/01/11/2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HACK之道 《【已复现】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)》