Apache Struts XWork组件漏洞CVE-2025-68493

Apache Struts 是一款开源的 MVC（Model-View-Controller）架构的 Java Web 应用开发框架，该产品主要用于构建企业级Web应用。

一、基本情况

Apache Struts 是一个基于Java的开源Web应用开发框架，基于 Java Servlet 和 JSP 技术构建，从而大大简化了 Web 应用的开发流程。

Apache Struts 由 Apache 软件基金会维护，它是早期 Java Web 开发中最主流的框架之一（常常与 Spring MVC、Struts2 等对比）。

栋科技漏洞库关注到关于 Apache Struts XWork 组件 XXE 漏洞，该漏洞现在已经被追踪为CVE-2025-68493，CVSS 3.X评分为8.1。

二、漏洞分析

CVE-2025-68493是2026年01月时，由 Apache 官方公告披露的 CVE-2025-68493 Apache Struts XWork XML外部实体注入漏洞。

在受影响版本中，XWork 组件在解析 XML 配置数据时，攻击者可构造包含外部实体声明的恶意 XML，引发 XML 外部实体注入风险。

该漏洞源于XWork在解析XML配置文件时，未对XML外部实体进行充分校验与限制，攻击者通过构造恶意XML内容触发外部实体解析。

成功利用后，可能造成敏感数据泄露、拒绝服务（DoS）以及服务器端请求伪造（SSRF）等安全影响。

不过，漏洞实际是否触发需要具体代码写法以及相关调用，实际利用可能性较小。

三、影响范围

2.0.0 <= Apache Struts <= 2.3.37（2.3.x 分支已停止维护）

2.5.0 <= Apache Struts <= 2.5.33（2.5.x 分支已停止维护）

6.0.0 <= Apache Struts <= 6.1.0

四、修复建议

Apache Struts >= 6.1.1

五、参考链接

管理员已设置登录后刷新可查看