【漏洞通告】Apache Struts外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)
内容提要
绿盟科技CERT监测到Apache Struts存在外部实体(XXE)注入漏洞S2-069(CVE-2025-68493),攻击者可利用该漏洞读取敏感文件或进行拒绝服务攻击。受影响版本包括2.0.0至2.3.37和2.5.0至2.5.33,建议用户尽快升级至6.1.1及以上版本以防护。官方已发布修复版本,用户也可采取临时措施禁用外部实体。
关键要点
-
绿盟科技CERT监测到Apache Struts存在外部实体(XXE)注入漏洞S2-069(CVE-2025-68493)。
-
攻击者可利用该漏洞读取敏感文件或进行拒绝服务攻击,CVSS评分为9.8。
-
受影响版本包括2.0.0至2.3.37和2.5.0至2.5.33,建议用户尽快升级至6.1.1及以上版本。
-
官方已发布修复版本,用户可采取临时措施禁用外部实体。
-
用户可通过人工检测和工具排查确认当前使用的Struts版本是否在受影响范围内。
延伸解读
漏洞影响分析
Apache Struts的外部实体注入漏洞S2-069具有高危性,CVSS评分达到9.8,意味着攻击者可以轻易读取敏感文件或发起拒绝服务攻击。受影响的版本范围广泛,用户应尽快确认自身使用的版本,以避免潜在的安全风险。
防护措施建议
对于无法立即升级的用户,建议采取临时措施禁用外部实体。这可以通过自定义SAXParserFactory或在JVM启动参数中设置相关属性来实现。这些措施虽然不能替代升级,但可以在短期内降低风险。
检测与排查工具
绿盟科技提供的自动化渗透测试工具(EZ)可以帮助用户识别Apache Struts的服务并进行漏洞扫描。企业用户应考虑使用此工具进行定期检查,以确保系统安全,及时发现并修复潜在漏洞。
延伸问答
Apache Struts的外部实体注入漏洞是什么?
Apache Struts的外部实体注入漏洞(S2-069)允许攻击者通过构造恶意XML数据读取敏感文件或进行拒绝服务攻击。
哪些版本的Apache Struts受到此漏洞影响?
受影响的版本包括2.0.0至2.3.37和2.5.0至2.5.33,6.0.0至6.1.0也在影响范围内。
如何检测当前使用的Apache Struts版本?
可以通过查看项目的pom.xml文件或lib中的核心包来确认当前使用的Struts版本。
如何防护Apache Struts的外部实体注入漏洞?
建议用户尽快升级至6.1.1及以上版本,或通过禁用外部实体的临时措施进行防护。
此漏洞的CVSS评分是多少?
此漏洞的CVSS评分为9.8,表示其严重性很高。
如果无法立即升级,用户可以采取哪些临时措施?
用户可以通过自定义SAXParserFactory配置或在JVM启动参数中设置特定属性来禁用外部实体。
