文章总结： ApacheStruts2存在严重XXE注入漏洞CVE-2025-68493，影响多个版本，可导致敏感数据泄露、SSRF及拒绝服务攻击。攻击者利用Xwork组件的XML解析缺陷实施攻击。官方已发布Struts6.1.1进行修复，建议受影响用户立即升级。若无法立即升级，可通过配置自定义SAXParserFactory或设置JVM属性禁用外部实体作为临时缓解措施。 综合评分： 85 文章分类： 漏洞预警,WEB安全,漏洞分析,供应链安全,应用安全

Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据

Abinaya

代码卫士

2026年1月13日 12:05 北京

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Apache Struts2 中存在一个严重的 XML 外部实体 (XXE) 注入漏洞CVE-2025-68493，可导致数百万应用程序遭数据盗取和服务器攻陷攻击。该漏洞影响Apache Struts2 多个版本，开发人员和系统管理员应立即采取操作。

漏洞概览

该漏洞位于负责处理 XML 配置解析的 Xwork 组件中。该组件未能正确验证 XML 输入，导致应用程序易受 XXE 注入攻击。受影响版本是 Struts 2.0.0-2.3.37、2.5.0-2.5.33以及6.0.0-6.1.0。

攻击者可利用该漏洞访问存储在受影响服务器上的敏感信息或者发动拒绝服务攻击。该漏洞由 ZAST.AI 公司的研究人员发现并报送。

鉴于该漏洞对数据机密性和系统可用性的潜在影响，该漏洞的严重性为“重要”级别。

影响版本

该漏洞影响全球组织机构当前使用的大量 Struts 2 版本，具体如下：

• Struts 2.0.0-2.3.37，已达生命周期
• Struts 2.5.0-2.5.33，已达生命周期
• Struts 6.0.0-6.1.0，受活跃支持

运行以上任一版本的组织机构应当立即应用安全更新。成功利用该漏洞可导致：

• 信息泄露：攻击者可提取敏感的配置文件、数据库凭据和应用机密信息
• 跨服务器请求伪造 (SSRF)：内部网络资源和系统可遭攻陷。
• 拒绝服务 (DoS)：可通过恶意 XML payload 中断应用可用性。

已修复

Apache 已发布 Struts 6.1.1 修复该漏洞。组织机构应当立即升级至该版本。该补丁支持向后兼容，应确保部署不会破坏已有应用程序。无法立即升级的组织机构可执行临时应变措施，如下：

• 自定义 SAXParseFactory：配置自定义 SAXParserFactory，将xwork.saxParserFactory 设置为出厂类以禁用外部实体。
• JVM-Level 配置：通过 JVM 系统属性全局禁用外部实体：-Djavax.xml.accessExternalDTD=””-Djavax.xml.accessExternalSchema=””-Djavax.xml.accessExternalStylesheet=””

这些应变措施为规划升级时间线的组织机构提供了临时防护措施。该漏洞为全球范围内的 Struts 2 部署带来严重威胁。安全团队应立即打补丁，而无法立即升级的系统应当验证这些应变措施是否可用。组织机构应当查看 Struts 2资产并规划快速打补丁流程，以免受影响。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

Critical Apache Struts 2 Vulnerability Allow Attackers to Steal Sensitive Data

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya《Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据》