【漏洞通告】Apache Struts外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
绿盟科技CERT监测到Apache Struts存在外部实体(XXE)注入漏洞S2-069(CVE-2025-68493),攻击者可利用该漏洞读取敏感文件或进行拒绝服务攻击。受影响版本包括2.0.0至2.3.37和2.5.0至2.5.33,建议用户尽快升级至6.1.1及以上版本以防护。官方已发布修复版本,用户也可采取临时措施禁用外部实体。
🎯
关键要点
- 绿盟科技CERT监测到Apache Struts存在外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)。
- 攻击者可利用该漏洞读取敏感文件或进行拒绝服务攻击,CVSS评分为9.8。
- 受影响版本包括2.0.0至2.3.37和2.5.0至2.5.33,建议用户尽快升级至6.1.1及以上版本。
- 官方已发布修复版本,用户可采取临时措施禁用外部实体。
- 用户可通过人工检测和工具排查确认当前使用的Struts版本是否在受影响范围内。
❓
延伸问答
Apache Struts的外部实体注入漏洞是什么?
Apache Struts的外部实体注入漏洞(S2-069)允许攻击者通过构造恶意XML数据读取敏感文件或进行拒绝服务攻击。
哪些版本的Apache Struts受到此漏洞影响?
受影响的版本包括2.0.0至2.3.37和2.5.0至2.5.33,6.0.0至6.1.0也在影响范围内。
如何检测当前使用的Apache Struts版本?
可以通过查看项目的pom.xml文件或lib中的核心包来确认当前使用的Struts版本。
如何防护Apache Struts的外部实体注入漏洞?
建议用户尽快升级至6.1.1及以上版本,或通过禁用外部实体的临时措施进行防护。
此漏洞的CVSS评分是多少?
此漏洞的CVSS评分为9.8,表示其严重性很高。
如果无法立即升级,用户可以采取哪些临时措施?
用户可以通过自定义SAXParserFactory配置或在JVM启动参数中设置特定属性来禁用外部实体。
🏷️
标签
➡️
