文章总结： ApacheStruts存在XML外部实体注入漏洞CVE-2025-68493，因解析器配置不当导致。攻击者可致数据泄露或SSRF。影响Struts2至6.1.0版本。建议升级至6.1.1修复，或配置JVM参数禁用外部实体访问进行缓解。 综合评分： 45 文章分类： 漏洞分析,WEB安全,漏洞预警,应用安全,安全招聘

【已复现含payload】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)

sqli sqli

OnePanda-Sec

2026年1月15日 18:14 湖北

招新

OnePanda-Sec

-招新说明-

**招新要求

· 热爱网络安全，喜欢CTF

· 拥有CTF比赛经验，有较好比赛成绩的

· 乐于奉献、热爱分享，愿意提升   自己同时帮助他人

· 时间允许参加各类赛事，服从战队管理与安排

· 各类比赛获奖者、能力出众者视情况考量

· 未参与其他高校联队

· 大一同学视情况放宽资历要求**

联系方式

发送简历于邮箱

· 简历邮箱：[email protected]

聘

漏洞详情

Apache Struts 是一个开源的 MVC（Model-View-Controller）Web 应用框架，广泛用于构建 Java EE 企业级 Web 应用程序。它通过简化开发流程、提供强大的标签库和拦截器机制，帮助开发者快速构建结构清晰、可维护性高的动态网站。Struts 2 架构基于 XWork 命令模式框架，支持插件化扩展，并长期作为 Java Web 开发的主流选择之一。

漏洞描述

Apache Struts XML外部实体注入漏洞(CVE-2025-68493)，该漏洞源于 Apache Struts XWork-Core 组件中对 XML 解析器安全选项配置不当，攻击者可利用该漏洞，通过构造恶意的 XML 数据并发送至受影响的 Apache Struts 应用，触发 XML 外部实体注入，进而实现数据泄露、SSRF、拒绝服务等攻击

利用条件

使用了

com.opensymphony.xwork2.util.DomHelper.parse 危险函数

影响版本

2.0.0 <= Apache Struts <= 2.3.37（EOL）

2.5.0 <= Apache Struts <= 2.5.33（EOL）

6.0.0 <= Apache Struts <= 6.1.0

漏洞复现

  利用常规xxepayload即可

漏洞修复

官方已发布安全补丁，请及时更新至最新版本：

Apache Struts >= 6.1.1

下载地址：

https://struts.apache.org/download.cgi

修复缓解措施：

对于暂时无法完成版本升级的用户，可采取以下临时缓解措施：

1.使用自定义 SAXParserFactory：配置系统属性xwork.saxParserFactory，指定一个默认禁用外部实体的自定义工厂类，阻止恶意外部实体的解析；

2.配置 JVM 级别的安全参数：通过设置系统属性禁用 XML 解析器对外部实体的访问，具体配置如下：

-Djavax.xml.accessExternalDTD=””

-Djavax.xml.accessExternalSchema=””

-Djavax.xml.accessExternalStylesheet=””

OnePandaSec团队交流群，欢迎网络安全爱好者加入

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnePanda-Sec sqli sqli《【已复现含payload】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)》