Apache Struts日志输出中立性不正确漏洞CVE-2025-54656

Apache Struts是基于Java的Web应用程序框架，通过MVC（模型-视图-控制器）体系结构实现应用程序控制器，框架使用标准的Java技术。

一、基本情况

Struts框架是基于MVC架构的，它将Web应用程序分为三个主要部分：模型、视图和控制器，模型表示数据层，通常从数据库中检索数据。

Struts框架提供大量组件，包括标签库、配置文件、插件以及与其他框架集成的方式，不仅是一个Web应用程序框架，还提供许多其他功能。

Apache Struts是一个强大而灵活的Java Web应用程序框架，使用MVC体系结构实现应用程序控制器，提供许多有用的组件、插件和工具。

栋科技漏洞库关注到Apache Struts Extras受影响版本中存在日志输出中立性不正确漏洞，漏洞被追踪为CVE-2025-54656，CVSS评分6.5。

二、漏洞分析

CVE-2025-54656漏洞在使用LookupDispatchAction时，某些情况下Struts可能在不进行任何过滤的情况下将不受信任的输入打印到日志中。

这导致攻击者使用特制的输入可能导致日志输出，其中部分消息伪装成单独的日志行，使日志的消费者（无论是人工还是自动）感到困惑。

漏洞影响Apache Struts Extras:before 2，由于项目已退役，厂商不计划修复，建议用户找到替代方案或将实例访问权限限制为受信任用户。

三、影响范围

Apache Struts Extras:before 2

四、修复建议

该项目已退役，厂商不计划发布修复更新，建议用户找到替代方案或将实例的访问权限限制为受信任的用户。

五、参考链接

管理员已设置登录后刷新可查看