一、漏洞详情

Apache Struts是一个开源的MVC（Model-View-Controller）Web应用框架，广泛用于构建Java EE企业级Web应用程序。它通过简化开发流程、提供强大的标签库和拦截器机制，帮助开发者快速构建结构清晰、可维护性高的动态网站。Struts2架构基于XWork命令模式框架，支持插件化扩展，并长期作为Java Web开发的主流选择之一。

安全厂商监测到官方修复Apache Struts XML外部实体注入漏洞(CVE-2025-68493)，该漏洞源于Apache Struts XWork-Core组件中对XML解析器安全选项配置不当，攻击者可利用该漏洞，通过构造恶意的XML数据并发送至受影响的 Apache Struts 应用，触发XML外部实体注入，进而实现数据泄露、SSRF、拒绝服务等攻击。

二、影响范围

影响版本

2.0.0 <= Apache Struts <= 2.3.37（EOL）

2.5.0 <= Apache Struts <= 2.5.33（EOL）

6.0.0 <= Apache Struts <= 6.1.0

三、处置建议

官方已发布安全补丁，请及时更新至最新版本：Apache Struts >= 6.1.1。下载地址：https://struts.apache.org/download.cgi

修复缓解措施：

对于暂时无法完成版本升级的用户，可采取以下临时缓解措施：

1.使用自定义 SAXParserFactory：配置系统属性xwork.saxParserFactory，指定一个默认禁用外部实体的自定义工厂类，阻止恶意外部实体的解析；

2.配置 JVM 级别的安全参数：通过设置系统属性禁用 XML 解析器对外部实体的访问，具体配置如下：

-Djavax.xml.accessExternalDTD=""

-Djavax.xml.accessExternalSchema=""

-Djavax.xml.accessExternalStylesheet=""