文章总结： ApacheStruts2修复S2-069CVE-2025-68493高危XXE漏洞，影响多个版本，攻击者可利用其读取文件或发起DoS攻击。建议用户升级至Struts6.1.1或更高版本，或开启腾讯云主机安全RASP进行防御。 综合评分： 65 文章分类： 漏洞预警,产品介绍,WEB安全

Struts2 S2-069 XXE漏洞 (CVE-2025-68493) 来袭，腾讯云主机安全RASP可自动防护

原创

腾讯云安全

云鼎实验室

2026年1月13日 17:18 广东

漏洞概述

Struts2 是一款基于 MVC 设计模式的开源 Java Web 框架，融合了 WebWork 框架的核心设计，是 Struts1 的后续版本，属于 Apache 基金会旗下的项目，主要用于简化 Java Web 应用的开发，广泛应用于企业级 Java Web 项目，如电商系统、管理后台等。

Struts2在历史上曾经多次出现过高危漏洞，最近Apache Struts官方修复了Apache Struts S2-069 XXE漏洞，CVE编号为CVE-2025-68493，漏洞位于XWork 组件中，是 Struts框架的命令模式框架。漏洞原因在于XWork对 XML的配置处理不当，导致系统极易受到 XML 外部实体 (XXE) 注入攻击，攻击者可以利用这个漏洞读取服务器上任意文件，泄漏敏感信息，或者执行拒绝服务（DoS）攻击。

鉴于漏洞细节与PoC代码已半公开，建议受影响用户立即采取修复措施，尽快升级到最新的版本或开启腾讯云安全RASP2.0应用保护能力（以下简称：应用保护），对服务器/容器资产进行保护。

漏洞详情

漏洞名称：Apache Struts2 XWork XML 外部实体注入(XXE)漏洞

漏洞编号：CVE-2025-68493

危害等级：高危

漏洞类型：应用漏洞

影响范围：

Apache Struts [>= 2.0.0, <= 2.3.37];

Apache Struts [>= 2.5.0, <= 2.5.33];

Apache Struts [>= 6.0.0, <= 6.1.0];

参考链接 ：Struts2 官方安全公告

https://cwiki.apache.org/confluence/display/WW/S2-069

处置建议

官方修复方案：

官方已经发布修复方案，请更新至Apache Struts 6.1.1 或更高版本。

腾讯云主机安全产品方案

开启腾讯云主机安全应用保护能力进行防御，基于通用防御规则，无需任何更新，即可防御该漏洞。

拦截结果演示：

腾讯云主机安全产品界面展示：

扫描二维码申请应用保护体验，并咨询热点漏洞防御最佳实践

END

更多精彩内容点击下方扫码关注哦~

关注云鼎实验室，获取更多安全情报

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云鼎实验室 腾讯云安全《Struts2 S2-069 XXE漏洞 (CVE-2025-68493) 来袭，腾讯云主机安全RASP可自动防护》