全球最热门的 Java Web 框架之一曝出底层新漏洞。ZAIT.AI 的安全研究人员发现,Apache Struts 2 存在一个 **“重要级别” 高危漏洞 **,攻击者可利用该漏洞窃取敏感数据,或对企业应用发起破坏性极强的拒绝服务攻击(DoS)。
该漏洞编号为 CVE-2025-68493,攻击目标直指 XWork 组件 —— 这是支撑 Struts 框架运行的命令模式核心组件。漏洞根源在于 XML 配置文件处理机制存在缺陷,导致系统完全暴露在XML 外部实体注入(XXE)攻击的风险之下。
从本质来看,该漏洞是数据验证机制失效所致。研究报告指出,“XWork 组件对 XML 配置文件的解析过程未采取合规的验证措施”,这为攻击者注入恶意外部实体开辟了可乘之机。
当应用程序处理被篡改的 XML 文件时,可能会被诱骗去加载外部恶意资源。此漏洞可能引发三重安全隐患:“数据泄露、拒绝服务攻击、服务器端请求伪造(SSRF)”。
这意味着攻击者可强制服务器泄露本地文件,或通过耗尽系统资源导致服务瘫痪,甚至能绕过防火墙,向内部隐藏系统发起未授权访问请求。
该漏洞的影响范围极为广泛,波及多个版本的 Struts 框架,包括已停止支持(EOL)的旧版本。受影响软件版本如下:
- Struts 2.0.0 至 2.3.37(已停止支持)
- Struts 2.5.0 至 2.5.33(已停止支持)
- Struts 6.0.0 至 6.1.0
Apache Struts 官方团队建议各机构 **“至少升级至 Struts 6.1.1 版本”**,以彻底修复该安全漏洞。值得庆幸的是,报告指出 “此次版本更新具备向后兼容性”,意味着升级操作不会导致现有应用程序出现故障。
对于暂时无法立即升级的旧版本用户,官方也提供了应急解决方案。缓解措施包括:使用自定义的 SAXParserFactory 组件并禁用外部实体功能;或通过 JVM 级别的配置项阻断外部 DTD 与 Schema 访问,例如设置系统属性
-Djavax.xml.accessExternalDTD=""。
发表评论
您还未登录,请先登录。
登录