文章总结： ApacheStruts官方修复CNNVD-202601-1787/CVE-2025-68493，XWork解析XML时校验不足致信息泄露或拒绝服务，受影响版本2.0.0-2.3.37、2.5.0-2.5.33、6.0.0-6.1.0，用户应立即升级到最新版本并验证补丁。 综合评分： 88 文章分类： 漏洞预警,WEB安全,安全建设,应急响应,漏洞分析

CNNVD | 关于Apache Struts安全漏洞的通报

中国信息安全

2026年1月14日 18:35 北京

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

漏洞情况

近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts安全漏洞安全漏洞（CNNVD-202601-1787、CVE-2025-68493）情况的报送。成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。Apache Struts多个版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一 漏洞介绍

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。

Apache Struts的XWork组件在解析XML配置文件时未对输入进行充分的安全校验，攻击者可通过提交恶意XML文档，诱使服务器在解析过程中加载文件触发漏洞。成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。

二 危害影响

Apache Struts 2.0.0版本至2.3.37版本、2.5.0版本至2.5.33版本、6.0.0 版本至6.1.0版本在安全漏洞。

三 修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方补丁链接：

https://struts.apache.org/download.cgi

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、南京众智维信息科技有限公司、中孚安全技术有限公司、塞讯信息技术（上海）有限公司、黑龙江安信与诚科技开发有限公司、南京禾盾信息科技有限公司、北京山石网科信息技术有限公司、任子行网络技术股份有限公司、中国银联股份有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: [email protected]

（来源：CNNVD）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中国信息安全 《CNNVD | 关于Apache Struts安全漏洞的通报》