【漏洞通告】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)

发布时间：2026-02-04浏览次数：

一、组件介绍

Apache Struts 是一个免费的开源 MVC 框架，用于创建优雅的现代 Java Web 应用程序。它支持约定优于配置，可使用插件架构进行扩展，并附带支持 REST、AJAX 和 JSON 的插件。

2026年1月14日，深瞳漏洞实验室监测到一则Apache-Struts组件存在XML外部实体注入（XXE）漏洞的信息，漏洞编号：CVE-2025-68493，漏洞威胁等级：高危。

Apache Struts 存在XML外部实体注入漏洞，XWork-Core 组件在解析XML配置文件时，未对XML外部实体进行充分校验与限制，导致攻击者可通过构造恶意XML内容触发外部实体解析。成功利用后，可能造成敏感数据泄露、拒绝服务等安全影响。

目前受影响的Apache-Struts版本：

2.0.0 ≤ Apache Struts ≤ 2.3.37

2.5.0 ≤ Apache Struts ≤ 2.5.33

6.0.0 ≤ Apache Struts ≤ 6.1.0

1)官方修复建议。

官方已发布最新版本修复该漏洞，建议受影响用户将Apache Struts更新到6.1.1及以上版本。

下载链接：https://struts.apache.org/download.cgi

无法立即升级的用户可以通过以下方式缓解：

1、使用自定义SAXParserFactory：将xwork.saxParserFactory设置为默认禁用外部实体的自定义工厂类；

2、定义JVM级别的配置：通过系统属性配置JVM的默认XML解析器以禁用外部实体（设置为空字符串以阻止所有协议）：

-Djavax.xml.accessExternalDTD=""

-Djavax.xml.accessExternalSchema=""

-Djavax.xml.accessExternalStylesheet=""

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。