文章总结： ApacheStruts存在高危XXE注入漏洞S2-069，影响2.0.0至6.1.0版本。攻击者利用缺失的XML验证机制注入恶意数据，可导致敏感信息泄露、RCE或拒绝服务。建议立即升级至最新版本，强化输入校验，配置WAF拦截异常请求，并开展资产扫描以消除隐患。 综合评分： 88 文章分类： 漏洞预警,WEB安全,漏洞分析,应用安全

【高危漏洞预警】Apache Struts外部实体（XXE）注入漏洞S2-069(CVE-2025-68493)

cexlife

飓风网络安全

2026年1月13日 17:24 北京

漏洞描述:

Aрасhе Strutѕ是一个流行的基于MVC架构的Jаvа Wеb框架,广泛应用于企业级Wеb应用程序开发,该漏洞存在于Aрасhе Strutѕ 2.0.0至2.2.1版本以及2.2.1至6.1.0版本中,由于XML验证机制的缺失攻击者可以利用此漏洞进行XML外部实体攻击,导致敏感信息泄露或拒绝服务攻击

攻击场景:

攻击者可通过构造恶意的XML请求利用缺失的XML 验证机制向目标系统注入恶意数据,从而触发远程代码执行或导致服务崩溃（拒绝服务）

影响产品:

2.0.0 <= Apache Struts < 2.2.1

2.2.1 <= Apache Struts < 6.1.0

修复建议:

补丁名称:

Aрасhе Strutѕ XML验证漏洞的补丁-更新至最新版本7.1.1

文件链接：

https://struts.apache.org/download.cgi#struts711

参考链接:

https://www.openwall.com/lists/oss-security/2026/01/11/2

https://cwiki.apache.org/confluence/display/WW/S2-069

建议措施:

立即升级:所有使用Apache Struts 2.x系列框架的系统,必须升级至6.1.1版本或更高版本

输入验证强化:在无法立即升级的环境中,应加强所有XML输入的数据校验禁用不必要的XML解析功能（如OGNL表达式解析）

WAF 防护：部署 Web 应用防火墙（WAF）配置规则以检测和阻断异常 XML 请求，特别是包含 #、$、{} 等特殊字符的请求体

资产扫描：使用漏洞扫描工具对内部资产进行排查,识别仍在使用受影响版本的系统

日志监控：监控系统日志中是否存在异常的XML请求、高频率的500错误或服务崩溃事件,及时响应潜在攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】Apache Struts外部实体（XXE）注入漏洞S2-069(CVE-2025-68493)》