支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-68493 基础信息
漏洞信息
                                        # Apache Struts XWork XXE 漏洞

## 概述
Apache Struts 存在缺少 XML 验证的漏洞,可能导致安全风险。

## 影响版本
- Apache Struts 2.0.0 至 2.2.1 之前版本  
- Apache Struts 2.2.1 至 6.1.0 版本

## 细节
该漏洞因 Apache Struts 未对 XML 输入进行充分验证,可能使攻击者利用恶意 XML 数据引发安全问题。

## 影响
未授权攻击者可能利用此漏洞执行任意代码或导致拒绝服务等后果。

## 修复建议
升级至 Apache Struts 6.1.1 版本以修复该漏洞。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Struts, Apache Struts: XXE vulnerability in outdated XWork component
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Missing XML Validation vulnerability in Apache Struts, Apache Struts. This issue affects Apache Struts: from 2.0.0 before 2.2.1; Apache Struts: from 2.2.1 through 6.1.0. Users are recommended to upgrade to version 6.1.1, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
XML验证缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Struts 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.3.37版本、2.5.0版本至2.5.33版本和6.0.0 版本至6.1.0版本在安全漏洞,该漏洞源于缺少XML验证,容易受到XML外部实体注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-68493 的公开POC
#POC 描述源链接神龙链接
1Nonehttps://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Apache%20Struts%20S2-069%20XML%20%E5%A4%96%E9%83%A8%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%20CVE-2025-68493.mdPOC详情
三、漏洞 CVE-2025-68493 的情报信息

  • 标题: S2-069 - Apache Struts 2 Wiki - Apache Software Foundation -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ### S2-069: XXE Vulnerability in XWork Component

#### Summary
- **Impacted Vulnerability**: XXE vulnerability in XWork component
- **Impact**: Disclosure of Data, Denial of Service, Server Side Request Forgery
- **Maximum Security Rating**: Important
- **Recommendation**: Upgrade to Struts 6.1.1 at least

#### Affected Software
- Struts 2.0.0 through Struts 2.3.37 (EOL)
- Struts 2.5.0 through Struts 2.5.33 (EOL)
- Struts 6.0.0 through Struts 6.1.0

#### Reporters
- ZAST.AI - https://zast.ai

#### CVE Identifier
- CVE-2025-68493

#### Problem
Parsing of XML configuration in XWork component does not validate XML in proper way and it's vulnerable to XML external entity (XXE) injection.

#### Solution
Upgrade to Struts 6.1.1 at least.

#### Backward Compatibility
This change is backward compatible.

#### Workaround
Users unable to upgrade immediately can mitigate XXE either by:
- Using a custom SAXParserFactory: set `xwork.saxParserFactory` to a custom factory class that disables external entities by default or
- Defining JVM-level configuration: configure the JVM's default XML parser to disable external entities via system properties (set to empty string to block all protocols):
    - `-Djavax.xml.accessExternalDTD=""`
    - `-Djavax.xml.accessExternalSchema=""`
    - `-Djavax.xml.accessExternalStylesheet=""`
    S2-069 - Apache Struts 2 Wiki - Apache Software Foundation
  • https://nvd.nist.gov/vuln/detail/CVE-2025-68493
四、漏洞 CVE-2025-68493 的评论

暂无评论

发表评论