文章总结： 微步通告ApacheStrutsS2-069XXE漏洞（CVE-2025-68493），源于XWork组件XML解析不严，可致文件读取、DoS或SSRF。影响2.0.0至6.1.0等版本。暂无公开POC，优先级中。建议升级至6.1.1+，或配置JVM参数禁用外部实体进行缓解。 综合评分： 83 文章分类： 漏洞预警,WEB安全,漏洞分析

漏洞通告 | Apache Struts S2-069 XXE漏洞

原创

微步情报局

微步在线研究响应中心

2026年1月12日 11:19 北京

漏洞概况

Apache Struts 2 是一个用于开发 Java EE 网络应用程序的开源 MVC（模型-视图-控制器） 框架。它由 Apache 软件基金会维护，旨在简化企业级 Java 应用的开发流程。

近日，微步情报局监测到Apache Struts官方发布通告，修复了Apache Struts s2-069 XXE漏洞（CVE-2025-68493）。XWork 组件在解析 XML 配置时，未对 XML 进行严格的验证和安全配置，导致存在 XML 外部实体注入 (XXE) 漏洞。攻击者可以构造恶意的 XML 实体，从而实现任意文件读取、拒绝服务 (DoS) 或服务端请求伪造 (SSRF)。

鉴于历史上出现过高影响力、且利用struts漏洞的数据泄露攻击事件（如 2017 年 Equifax 数据泄露与 S2-045 相关），建议使用受影响版本的用户密切关注。

漏洞处置优先级(VPT)

综合处置优先级：中

| | | | | — | — | — | | 基本信息 | 微步编号 | XVE-2025-52677 | | CVE编号 | CVE-2025-68493 | | 漏洞类型 | XXE注入 | | 利用条件评估 | 利用漏洞的网络条件 | 远程 | | 是否需要绕过安全机制 | 不需要 | | 对被攻击系统的要求 | 无 | | 利用漏洞的权限要求 | 无 | | 是否需要受害者配合 | 否 | | 利用情报 | POC是否公开 | 否 | | 已知利用行为 | 否 |

漏洞影响范围

| | | | — | — | | 产品名称 | Apache软件基金会 | Apache Struts | | 受影响版本 | 2.0.0 <= version <= 2.3.37 2.5.0 <= version <= 2.5.33 6.0.0 <= version <= 6.1.0 | | 有无修复补丁 | 有 |

修复方案

官方修复方案：

• 官方已发布修复方案，建议升级到 Apache Struts 6.1.1 或更高版本。官方通告链接：

  https://cwiki.apache.org/confluence/display/WW/S2-069

临时缓解措施：

如果用户无法立即升级到安全版本，可以采取以下两种临时缓解措施中的任意一种：

方法一：自定义 SAXParserFactory 配置，可以通过设置 XWork 的解析工厂类来禁用外部实体：

• 配置项：设置 xwork.saxParserFactory
• 配置方式：将其指向一个自定义的工厂类，在该类中默认禁用外部实体

方法二：通过在 Java 虚拟机启动参数中增加以下配置，锁定 XML 解析器的行为，防止其访问外部资源，配置方式如下所示：

• 禁用外部 DTD：-Djavax.xml.accessExternalDTD=””

• 禁用外部架构(Schema)：-Djavax.xml.accessExternalSchema=””

• 禁用外部样式表(Stylesheet)：-Djavax.xml.accessExternalStylesheet=””

• END –

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

• 提供高价值漏洞情报，具备及时、准确、全面和可操作性；
• 可实现对高威胁漏洞提前掌握，缩短漏洞运营 MTTR；
• 提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
• 结合威胁事件库、APT组织数据，对漏洞风险进行持续动态更新。

扫码在线沟通

↓↓↓

📞 点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划，我们鼓励白帽子提交挖掘到的0day漏洞，并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力，提升0day防御能力，守护数字世界安全。

活动详情：https://x.threatbook.com/v5/vulReward

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线研究响应中心 微步情报局《漏洞通告 | Apache Struts S2-069 XXE漏洞》