阅读: 11
通告编号:NS-2026-0001
| TAG: | Apache Struts、XXE、S2-069、CVE-2025-68493 |
| 漏洞危害: | 攻击者利用此漏洞,可实现任意文件读取或拒绝服务等。 |
| 版本: | 1.0 |
1 漏洞概述
Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-069
2 影响范围
- 2.0.0 <= Apache Struts <= 2.3.37(EOL)
- 2.5.0 <= Apache Struts <= 2.5.33(EOL)
- 6.0.0 <= Apache Struts <= 6.1.0
不受影响版本
- Apache Struts >= 6.1.1
3 漏洞检测
使用maven打包的项目可通过pom.xml查看当前使用的struts版本:
也可通过查看lib中的核心包查看struts版本
若当前版本在受影响范围内,则可能存在安全风险。
4 暴露面风险排查
绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-68493漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。
感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]安排详细的咨询交流。
4.2 工具排查
绿盟科技自动化渗透测试工具(EZ)支持Apache Struts的服务识别,可直接使用web模块进行扫描。(注:企业版请联系绿盟销售人员获取)
工具下载链接:https://github.com/m-sec-org/EZ/releases
新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:
5 漏洞防护
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://struts.apache.org/download.cgi
5.2 临时防护措施
若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:
1、使用自定义SAXParserFactory配置,通过设置系统xwork.saxParserFactory=指向自定义的工厂类,实现默认禁用外部实体;
2、在JVM启动参数中配置以下系统属性,可禁用默认XML解析器的外部实体访问;
-Djavax.xml.accessExternalDTD=””
-Djavax.xml.accessExternalSchema=””
-Djavax.xml.accessExternalStylesheet=””
注:设置为空字符串可阻断所有协议。
END
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。