Goby 漏洞安全通告|Apache Struts XWork 组件 XML外部实体注入漏洞(CVE-2025-68493)

漏洞名称:Apache Struts XWork 组件 XML外部实体注入漏洞(CVE-2025-68493)

风险等级:

中危

漏洞描述:

Apache Struts 是一个开源的 MVC(Model-View-Controller)Web 应用框架,广泛用于构建 Java EE 企业级 Web 应用程序。它通过简化开发流程、提供强大的标签库和拦截器机制,帮助开发者快速构建结构清晰、可维护性高的动态网站。Struts 2 架构基于 XWork 命令模式框架,支持插件化扩展,并长期作为 Java Web 开发的主流选择之一。

该漏洞源于Apache Struts 框架的 XWork-Core 组件未能对 XML 解析器进行正确的安全配置。攻击者可以通过向存在该漏洞的 Struts 应用提交精心构造的恶意 XML 数据,利用此缺陷触发 XML 外部实体注入(XXE)。成功利用后,可能造成敏感数据被窃取、服务器端请求伪造(SSRF)以及拒绝服务(DoS)等严重后果。鉴于该漏洞的PoC和技术细节已在互联网上公开,建议相关用户立即采取自查和防护措施。

FOFA自检语句:

app="Struts2"

受影响版本:

2.0.0 <= Apache Struts <= 2.3.37(EOL)

2.5.0 <= Apache Struts <= 2.5.33(EOL)

6.0.0 <= Apache Struts <= 6.1.0

临时修复方案:

官方已发布新版本修复该漏洞,建议受影响的用户升级至Struts 6.1.1或更高版本

补丁链接:

https://struts.apache.org/download.cgi

临时缓解方案:

对于暂时无法完成版本升级的用户,可采取以下临时缓解措施:

1.使用自定义 SAXParserFactory:配置系统属性xwork.saxParserFactory,指定一个默认禁用外部实体的自定义工厂类,阻止恶意外部实体的解析;

2.配置 JVM 级别的安全参数:通过设置系统属性禁用 XML 解析器对外部实体的访问,具体配置如下:

-Djavax.xml.accessExternalDTD=""

-Djavax.xml.accessExternalSchema=""

-Djavax.xml.accessExternalStylesheet=""

漏洞检测工具:

鉴于该漏洞影响范围较大,建议优先处置排查,Goby EXP效果如视频演示如下:

查看Goby更多漏洞: Goby历史漏洞合集

相关推荐
Rocket-Luo29 分钟前
谈谈企业中的网络安全
网络·安全·web安全
技术不好的崎鸣同学1 小时前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
江畔柳前堤2 小时前
第16章:docker企业级实战综合项目
运维·git·安全·docker·容器·eureka
Bruce_Liuxiaowei3 小时前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
星幻元宇VR3 小时前
公共安全主题展厅设备【防洪防汛安全科普系统】
科技·学习·安全
红糖奶茶5 小时前
【实测有效】 如何关闭Windows自动更新?【图文详解】win10/win11关闭自动更新
其他·安全
A-刘晨阳5 小时前
关键基础设施安全底座:自主可控时序大模型TimechoAI的国产化实践与深度时序分析能力
大数据·数据库·安全·时序数据库
E_ICEBLUE10 小时前
在 Python 中快速锁定 Excel 单元格与行列
python·安全·excel
米小虾1 天前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia1 天前
网络安全漏洞修复(一)
安全