江蘇
關(guān)鍵詞
漏洞
Apache Struts 2 XML外部實(shí)體(XXE)注入漏洞(CVE-2025-68493)安全公告
已在 Apache Struts 2 中發(fā)現(xiàn)一個(gè)關(guān)鍵的 XML 外部實(shí)體(XXE)注入漏洞,該漏洞可能使數(shù)百萬應(yīng)用程序面臨數(shù)據(jù)竊取和服務(wù)器被入侵的風(fēng)險(xiǎn)。 該漏洞被追蹤為 CVE-2025-68493,影響該廣泛使用的框架的多個(gè)版本,需要開發(fā)者和系統(tǒng)管理員立即采取行動(dòng)。
漏洞概述
此安全缺陷存在于 Apache Struts 2 的 XWork 組件中,該組件負(fù)責(zé)處理 XML 配置解析。該組件未能正確驗(yàn)證 XML 輸入,使應(yīng)用程序易受 XXE 注入攻擊。
CVE ID
漏洞類型
受影響組件
受影響版本
CVE-2025-68493
XML 外部實(shí)體(XXE)注入
XWork 組件
Struts 2.0.0–2.3.37, 2.5.0–2.5.33, 6.0.0–6.1.0
攻擊者可利用此漏洞訪問受影響服務(wù)器上存儲(chǔ)的敏感信息,或發(fā)起拒絕服務(wù)攻擊。ZAST.AI 的安全研究人員發(fā)現(xiàn)了此漏洞并向 Apache Struts 團(tuán)隊(duì)進(jìn)行了報(bào)告。由于該漏洞可能對(duì)數(shù)據(jù)保密性和系統(tǒng)可用性造成重大影響,因此被評(píng)定為"重要"(Important)安全級(jí)別。
受影響版本范圍
該漏洞影響全球各類組織中正在使用的多個(gè) Struts 2 版本:
受影響版本范圍
狀態(tài)
Struts 2.0.0 – 2.3.37
已結(jié)束生命周期(End-of-Life)
Struts 2.5.0 – 2.5.33
已結(jié)束生命周期(End-of-Life)
Struts 6.0.0 – 6.1.0
活躍支持中(Active Support)
運(yùn)行以上任何版本的組織應(yīng)立即優(yōu)先進(jìn)行安全更新。
漏洞影響
成功利用 CVE-2025-68493 可能導(dǎo)致以下后果:
影響類型
描述
數(shù)據(jù)泄露(Data Disclosure)
攻擊者可提取敏感配置文件、數(shù)據(jù)庫憑證和應(yīng)用程序密鑰
服務(wù)器端請(qǐng)求偽造(SSRF)
可導(dǎo)致內(nèi)部網(wǎng)絡(luò)資源和系統(tǒng)被入侵
拒絕服務(wù)(DoS)
可利用惡意 XML 負(fù)載中斷應(yīng)用程序可用性
修復(fù)方案與緩解措施
Apache 已發(fā)布 Struts 6.1.1 作為修復(fù)版本,該版本維持了向后兼容性,可確保平滑部署,不會(huì)破壞現(xiàn)有應(yīng)用程序。建議所有組織立即升級(jí)至該版本。
對(duì)于無法立即升級(jí)的組織,可實(shí)施以下臨時(shí)緩解措施:
緩解方案
描述
自定義 SAXParserFactory
通過將xwork.saxParserFactory配置為一個(gè)自定義的SAXParserFactory工廠類來禁用外部實(shí)體解析
JVM 級(jí)配置
通過 JVM 系統(tǒng)屬性全局禁用外部實(shí)體:
-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet=""
重要提示:
CVE-2025-68493 對(duì)全球 Struts 2 部署構(gòu)成了嚴(yán)重威脅。安全團(tuán)隊(duì)?wèi)?yīng)將即時(shí)修補(bǔ)作為最高優(yōu)先級(jí),對(duì)于無法立即升級(jí)的系統(tǒng),應(yīng)確保已實(shí)施上述緩解措施。建議各組織立即審查其 Struts 2 資產(chǎn)清單,并制定加速修補(bǔ)計(jì)劃,以消除此關(guān)鍵漏洞的暴露風(fēng)險(xiǎn)。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
暖心萌阿菇?jīng)?/span>
