好,我现在需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得通读整篇文章,抓住关键点。 文章主要讲的是Apache Struts框架中的一个漏洞,CVE-2025-68493。这是一个中危风险的漏洞。漏洞的原因是XWork-Core组件在处理XML解析时没有正确配置安全设置,导致攻击者可以利用XXE漏洞进行攻击。 接下来,攻击者可能窃取敏感数据、发起SSRF或DoS攻击。文章还提到PoC和细节已经公开,所以建议用户立即采取措施。受影响的版本包括多个范围,比如2.0.0到2.3.37,还有2.5和6.0的一些版本。 修复方案方面,官方已经发布了新版本,建议升级到6.1.1或更高。如果暂时无法升级,可以使用自定义SAXParserFactory或者配置JVM参数来禁用外部实体解析。 最后,文章还提到了检测工具Goby的效果,并附上了补丁链接。 总结的时候要涵盖漏洞名称、风险等级、影响范围、可能后果以及修复建议。控制在100字以内,所以需要简洁明了。 现在组织语言:先点出漏洞名称和风险等级,然后说明影响范围和后果,最后给出修复措施。确保不使用“文章内容总结”这样的开头。 最终的总结应该是:Apache Struts XWork组件存在XML外部实体注入漏洞(CVE-2025-68493),中危风险。该漏洞可能导致敏感数据泄露、SSRF及DoS攻击。受影响版本包括多个Struts 2.x和6.x版本。建议升级至6.1.1或更高版本,并采取临时缓解措施如禁用外部实体解析。 </think> Apache Struts XWork组件存在XML外部实体注入漏洞(CVE-2025-68493),中危风险。该漏洞可能导致敏感数据泄露、SSRF及DoS攻击。受影响版本包括多个Struts 2.x和6.x版本。建议升级至6.1.1或更高版本,并采取临时缓解措施如禁用外部实体解析。 2026-1-15 12:1:31 Author: nosec.org(查看原文) 阅读量:0 收藏
漏洞名称:Apache Struts XWork 组件 xm l外部实体注入漏洞(CVE-2025-68493)
风险等级:
中危风险
漏洞描述:
Apache Struts 是一个开源的 MVC(Model-View-Controller)Web 应用框架,广泛用于构建 Java EE 企业级 Web 应用程序。它通过简化开发流程、提供强大的标签库和拦截器机制,帮助开发者快速构建结构清晰、可维护性高的动态网站。Struts 2 架构基于 XWork 命令模式框架,支持插件化扩展,并长期作为 Java Web 开发的主流选择之一。
该漏洞源于Apache Struts 框架的 XWork-Core 组件未能对 xm l 解析器进行正确的安全配置。攻击者可以通过向存在该漏洞的 Struts 应用提交精心构造的恶意 xm l 数据,利用此缺陷触发 xm l 外部实体注入(XXE)。成功利用后,可能造成敏感数据被窃取、服务器端请求伪造(SSRF)以及拒绝服务(DoS)等严重后果。鉴于该漏洞的PoC和技术细节已在互联网上公开,建议相关用户立即采取自查和防护措施。
FOFA自检语句:
app="Struts2"
受影响版本:
2.0.0 <= Apache Struts <= 2.3.37(EOL)
2.5.0 <= Apache Struts <= 2.5.33(EOL)
6.0.0 <= Apache Struts <= 6.1.0
临时修复方案:
官方已发布新版本修复该漏洞,建议受影响的用户升级至Struts 6.1.1或更高版本
补丁链接:
https://struts.apache.org/download.cgi
临时缓解方案:
对于暂时无法完成版本升级的用户,可采取以下临时缓解措施:
1.使用自定义 SAXParserFactory:配置系统属性xwork.saxParserFactory,指定一个默认禁用外部实体的自定义工厂类,阻止恶意外部实体的解析;
2.配置 JVM 级别的安全参数:通过设置系统属性禁用 xm l 解析器对外部实体的访问,具体配置如下:
-Djavax.xm l.accessExternalDTD=""
-Djavax.xm l.accessExternalSchema=""
-Djavax.xm l.accessExternalStylesheet=""
漏洞检测工具:
鉴于该漏洞影响范围较大,建议优先处置排查,Goby EXP效果如视频演示如下:
如有侵权请联系:admin#unsafe.sh