文章总结： ApacheStruts2曝出高危漏洞S2-069，XWork组件因XML配置解析不当遭受XXE注入攻击。受影响版本涵盖2.0.0至6.1.0多个区间。官方建议用户升级至6.1.1版本修复；无法立即升级者可通过自定义SAXParserFactory或配置JVM系统属性禁用外部实体以缓解风险。 综合评分： 75 文章分类： 漏洞预警,WEB安全,漏洞分析

注意升级|Struts2曝高危漏洞S2-069（CVE-2025-68493）

SecHub网络安全社区

2026年1月12日 16:35 河南

点击蓝字 关注我们

免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

🌟简介

 XWork组件中的XML配置解析未能正确验证XML，容易受到XML外部实体（XXE）注入攻击。

影响版本

此问题影响 Apache Struts：

• Struts 2.0.0 至 Struts 2.3.37 ( 已结束支持 )
• Struts 2.5.0 至 Struts 2.5.33 （ 已结束支持 ）
• Struts 6.0.0 至 Struts 6.1.0

#

解决方案

#

建议用户升级至 6.1.1 版本，该版本已修复此问题。

无法立即升级的用户可以通过以下方式缓解 XXE：

• 使用自定义的 SAXParserFactory：将 xwork.saxParserFactory=  设置为自定义的工厂类，默认禁用外部实体

或者

• 定义 JVM 级别的配置：通过系统属性配置 JVM 默认的 XML 解析器以禁用外部实体（设置为空字符串以阻止所有协议）：

| | | — | | -Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet="" |

#

欢迎关注SecHub网络安全社区，SecHub网络安全社区目前邀请式注册，邀请码获取见公众号菜单【邀请码】

#

企业简介

赛克艾威 – 网络安全解决方案提供商****

       北京赛克艾威科技有限公司（简称：赛克艾威），成立于2016年9月，提供全面的安全解决方案和专业的技术服务，帮助客户保护数字资产和网络环境的安全。

安全评估|渗透测试|漏洞扫描|安全巡检

代码审计|钓鱼演练|应急响应|安全运维

重大时刻安保|企业安全培训

联系方式

电话｜010-86460828

官网｜https://sechub.com.cn

关注我们

公众号：sechub安全

哔哩号：SecHub官方账号

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecHub网络安全社区 《注意升级|Struts2曝高危漏洞S2-069（CVE-2025-68493）》