大工网安告[2026002]

一、 情况分析

Apache Struts是一个基于Java的开源Web应用开发框架，采用MVC（模型-视图-控制器）架构模式，主要用于构建企业级Web应用。Struts通过清晰分层，将业务逻辑、页面展示和请求控制解耦，提升应用的可维护性与可扩展性。

近日， 监测到 Apache Struts2 XML外部实体注入漏洞(CVE-2025-68493)， 此安全缺陷存在于 Apache Struts 2 的 XWork 组件中，该组件负责处理 XML 配置解析。该组件未能正确验证 XML 输入，使应用程序易受 XXE 注入攻击。

威胁类型：代码执行。

技术类型：XML外部实体注入。

危害描述：攻击者可利用此漏洞访问受影响服务器上存储的敏感信息，或发起拒绝服务攻击。

二、 影响版本

2.0.0 ≤ Apache Struts ≤ 2.3.37

2.5.0 ≤ Apache Struts ≤ 2.5.33

6.0.0 ≤ Apache Struts ≤ 6.1.0

三、 处置建议

修复解决方案（含漏洞补丁） ：

官方已发布安全补丁， 请及时更新至最新版本。

下载地址：https://struts.apache.org/download.cgi