Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士

专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Apache Struts2 中存在一个严重的 XML 外部实体 (XXE) 注入漏洞CVE-2025-68493,可导致数百万应用程序遭数据盗取和服务器攻陷攻击。该漏洞影响Apache Struts2 多个版本,开发人员和系统管理员应立即采取操作。
漏洞概览
该漏洞位于负责处理 XML 配置解析的 Xwork 组件中。该组件未能正确验证 XML 输入,导致应用程序易受 XXE 注入攻击。受影响版本是 Struts 2.0.0-2.3.37、2.5.0-2.5.33以及6.0.0-6.1.0。
攻击者可利用该漏洞访问存储在受影响服务器上的敏感信息或者发动拒绝服务攻击。该漏洞由 ZAST.AI 公司的研究人员发现并报送。
鉴于该漏洞对数据机密性和系统可用性的潜在影响,该漏洞的严重性为“重要”级别。
影响版本
该漏洞影响全球组织机构当前使用的大量 Struts 2 版本,具体如下:
-
Struts 2.0.0-2.3.37,已达生命周期
-
Struts 2.5.0-2.5.33,已达生命周期
-
Struts 6.0.0-6.1.0,受活跃支持
运行以上任一版本的组织机构应当立即应用安全更新。成功利用该漏洞可导致:
-
信息泄露:攻击者可提取敏感的配置文件、数据库凭据和应用机密信息
-
跨服务器请求伪造 (SSRF):内部网络资源和系统可遭攻陷。
-
拒绝服务 (DoS):可通过恶意 XML payload 中断应用可用性。
已修复
Apache 已发布 Struts 6.1.1 修复该漏洞。组织机构应当立即升级至该版本。该补丁支持向后兼容,应确保部署不会破坏已有应用程序。无法立即升级的组织机构可执行临时应变措施,如下:
-
自定义 SAXParseFactory:配置自定义 SAXParserFactory,将xwork.saxParserFactory 设置为出厂类以禁用外部实体。
-
JVM-Level 配置:通过 JVM 系统属性全局禁用外部实体:-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet=""
这些应变措施为规划升级时间线的组织机构提供了临时防护措施。该漏洞为全球范围内的 Struts 2 部署带来严重威胁。安全团队应立即打补丁,而无法立即升级的系统应当验证这些应变措施是否可用。组织机构应当查看 Struts 2资产并规划快速打补丁流程,以免受影响。

开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com
推荐阅读
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
黑客发动史上规模最大的 NPM 供应链攻击,影响全球10%的云环境
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
Aikido在npm热门包 rand-user-agent 中发现恶意代码
密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击
原文链接
https://cybersecuritynews.com/critical-apache-struts-2-vulnerability/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐

所有评论(0)