2026-01-17 02:02:20 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： ApacheStruts2曝出XXE注入高危漏洞CVE-2025-68493，影响多个版本，攻击者可窃取敏感数据或发起DoS攻击。建议立即升级至Struts6.1.1修复版本。若无法升级，需配置JVM参数或自定义SAXParserFactory禁用外部实体解析以缓解风险。安全团队应优先处理资产清单排查。 综合评分： 86 文章分类： 漏洞预警,WEB安全,漏洞分析,数据安全,应急响应

cover_image

【安全圈】Apache Struts 2曝高危漏洞：攻击者可窃取敏感数据

安全圈

2026年1月15日 19:01 江苏

关键词

漏洞

Apache Struts 2 XML外部实体（XXE）注入漏洞（CVE-2025-68493）安全公告

已在 Apache Struts 2 中发现一个关键的 XML 外部实体（XXE）注入漏洞，该漏洞可能使数百万应用程序面临数据窃取和服务器被入侵的风险。该漏洞被追踪为 CVE-2025-68493，影响该广泛使用的框架的多个版本，需要开发者和系统管理员立即采取行动。

漏洞概述

此安全缺陷存在于 Apache Struts 2 的 XWork 组件中，该组件负责处理 XML 配置解析。该组件未能正确验证 XML 输入，使应用程序易受 XXE 注入攻击。

| CVE ID | 漏洞类型 | 受影响组件 | 受影响版本 | | — | — | — | — | | CVE-2025-68493 | XML 外部实体（XXE）注入 | XWork 组件 | Struts 2.0.0–2.3.37, 2.5.0–2.5.33, 6.0.0–6.1.0 |

攻击者可利用此漏洞访问受影响服务器上存储的敏感信息，或发起拒绝服务攻击。ZAST.AI 的安全研究人员发现了此漏洞并向 Apache Struts 团队进行了报告。由于该漏洞可能对数据保密性和系统可用性造成重大影响，因此被评定为”重要”（Important）安全级别。

受影响版本范围

该漏洞影响全球各类组织中正在使用的多个 Struts 2 版本：

运行以上任何版本的组织应立即优先进行安全更新。

漏洞影响

成功利用 CVE-2025-68493 可能导致以下后果：

修复方案与缓解措施

Apache 已发布 Struts 6.1.1 作为修复版本，该版本维持了向后兼容性，可确保平滑部署，不会破坏现有应用程序。建议所有组织立即升级至该版本。

对于无法立即升级的组织，可实施以下临时缓解措施：

重要提示 ： CVE-2025-68493 对全球 Struts 2 部署构成了严重威胁。安全团队应将即时修补作为最高优先级，对于无法立即升级的系统，应确保已实施上述缓解措施。建议各组织立即审查其 Struts 2 资产清单，并制定加速修补计划，以消除此关键漏洞的暴露风险。

END

阅读推荐

【安全圈】男子 3 个月内 25 次入侵美国最高法院电子文件系统，将出庭认罪

【安全圈】微软桌面窗口管理器0Day漏洞遭野外利用

【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥

【安全圈】河南省考报名系统高峰时段崩溃

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】Apache Struts 2曝高危漏洞：攻击者可窃取敏感数据》