【漏洞预警】Apache Struts XWork 组件 XML外部实体注入漏洞（CVE-2025-68493）

漏洞名称：Apache Struts XWork 组件 xm l外部实体注入漏洞（CVE-2025-68493）

风险等级：

中危风险

漏洞描述：

Apache Struts 是一个开源的 MVC（Model-View-Controller）Web 应用框架，广泛用于构建 Java EE 企业级 Web 应用程序。它通过简化开发流程、提供强大的标签库和拦截器机制，帮助开发者快速构建结构清晰、可维护性高的动态网站。Struts 2 架构基于 XWork 命令模式框架，支持插件化扩展，并长期作为 Java Web 开发的主流选择之一。

该漏洞源于Apache Struts 框架的 XWork-Core 组件未能对 xm l 解析器进行正确的安全配置。攻击者可以通过向存在该漏洞的 Struts 应用提交精心构造的恶意 xm l 数据，利用此缺陷触发 xm l 外部实体注入（XXE）。成功利用后，可能造成敏感数据被窃取、服务器端请求伪造（SSRF）以及拒绝服务（DoS）等严重后果。鉴于该漏洞的PoC和技术细节已在互联网上公开，建议相关用户立即采取自查和防护措施。

FOFA自检语句：

app="Struts2"

受影响版本：

2.0.0 <= Apache Struts <= 2.3.37（EOL） 

2.5.0 <= Apache Struts <= 2.5.33（EOL）

6.0.0 <= Apache Struts <= 6.1.0

临时修复方案：

官方已发布新版本修复该漏洞，建议受影响的用户升级至Struts 6.1.1或更高版本
补丁链接:

https://struts.apache.org/download.cgi

临时缓解方案：
对于暂时无法完成版本升级的用户，可采取以下临时缓解措施：

1.使用自定义 SAXParserFactory：配置系统属性xwork.saxParserFactory，指定一个默认禁用外部实体的自定义工厂类，阻止恶意外部实体的解析；

2.配置 JVM 级别的安全参数：通过设置系统属性禁用 xm l 解析器对外部实体的访问，具体配置如下：

-Djavax.xm l.accessExternalDTD=""

-Djavax.xm l.accessExternalSchema=""

-Djavax.xm l.accessExternalStylesheet=""

漏洞检测工具：

鉴于该漏洞影响范围较大，建议优先处置排查，Goby EXP效果如视频演示如下：