【漏洞通告】Apache Struts外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)

admin
admin
admin
0
文章
0
评论
2026-01-15 00:02:40 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 绿盟科技通告ApacheStruts存在S2-069XXE注入漏洞,CVSS评分9.8。因XWork组件未有效验证XML数据,攻击者可致任意文件读取或拒绝服务。受影响版本含2.0.0至6.1.0,官方已发布修复版本6.1.1。建议用户立即升级,或配置JVM参数禁用外部实体以缓解风险。 综合评分: 84 文章分类: 漏洞预警,WEB安全,漏洞分析

cover_image

【漏洞通告】Apache Struts外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)

原创

NS-CERT

绿盟科技CERT

2026年1月13日 15:33 四川

通告编号:NS-2026-0001

2026-01-13

| | | | — | — | | TAG: | Apache Struts、XXE、S2-069、CVE-2025-68493 | | 漏洞危害: | 攻击者利用此漏洞,可实现任意文件读取或拒绝服务等。 | | 版本: | 1.0 |

1

漏洞概述

近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Struts外部实体(XXE)注入漏洞S2-069(CVE-2025-68493);由于Apache Struts的XWork组件在解析XML配置时未进行有效验证,攻击者可通过构造恶意的XML数据注入外部实体,从而读取服务器敏感文件、进行服务器端请求伪造或拒绝服务攻击。CVSS评分9.8,目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。

Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。

参考链接:

https://cwiki.apache.org/confluence/display/WW/S2-069

SEE MORE →

2影响范围

受影响版本

  • 2.0.0 <= Apache Struts <= 2.3.37(EOL)
  • 2.5.0 <= Apache Struts <= 2.5.33(EOL)
  • 6.0.0 <= Apache Struts <= 6.1.0

不受影响版本

  • Apache Struts >= 6.1.1

3漏洞检测

3.1 人工检测

使用maven打包的项目可通过pom.xml查看当前使用的struts版本:

也可通过查看lib中的核心包查看struts版本

若当前版本在受影响范围内,则可能存在安全风险。

4暴露面风险排查

4.1 云端检测

绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-68493漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。

感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]安排详细的咨询交流。

4.2 工具排查

  绿盟科技自动化渗透测试工具(EZ)支持Apache Struts的服务识别,可直接使用web模块进行扫描。(注:企业版请联系绿盟销售人员获取)

工具下载链接:https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:

5漏洞防护

5.1 官方升级

目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://struts.apache.org/download.cgi

5.2 临时防护措施

若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:

1、使用自定义SAXParserFactory配置,通过设置系统xwork.saxParserFactory=指向自定义的工厂类,实现默认禁用外部实体;

2、在JVM启动参数中配置以下系统属性,可禁用默认XML解析器的外部实体访问;

| | | — | | -Djavax.xml.accessExternalDTD=”” -Djavax.xml.accessExternalSchema=”” -Djavax.xml.accessExternalStylesheet=”” |

注:设置为空字符串可阻断所有协议。

END

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

绿盟科技CERT∣微信公众号

长按识别二维码,关注网络安全威胁信息

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:绿盟科技CERT NS-CERT《【漏洞通告】Apache Struts外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0