Apache Struts 2 关键漏洞允许攻击者窃取敏感数据
- 浏览次数 403
- 喜欢 0
HackerNews 编译,转载请注明出处:
Apache Struts 2中发现了一个关键的XML外部实体注入漏洞,可能导致数百万个应用程序面临数据窃取和服务器被攻击的风险。
该漏洞编号为CVE-2025-68493,影响了该广泛使用框架的多个版本,开发人员与系统管理员需立即采取行动。
漏洞概述
该安全漏洞存在于Apache Struts 2的XWork组件中,该组件负责处理XML配置解析。
该组件未能正确验证XML输入,导致应用程序容易受到XXE注入攻击。
| CVE 编号 | 漏洞类型 | 受影响组件 | 受影响版本 |
|---|---|---|---|
| CVE-2025-68493 | XML外部实体(XXE)注入 | XWork组件 | Struts 2.0.0–2.3.37,2.5.0–2.5.33,6.0.0–6.1.0 |
威胁行为者可利用此弱点访问受影响服务器上存储的敏感信息,或发起拒绝服务攻击。
ZAST.AI的安全研究人员发现了该漏洞,并已向Apache Struts团队报告。
该漏洞因其对数据机密性和系统可用性的潜在影响,被评定为"重要"安全等级。
该漏洞影响了全球各组织当前正在使用的广泛的Struts 2版本:
| 受影响版本范围 | 状态 |
|---|---|
| Struts 2.0.0 – 2.3.37 | 生命周期结束 |
| Struts 2.5.0 – 2.5.33 | 生命周期结束 |
| Struts 6.0.0 – 6.1.0 | 积极支持 |
运行任何这些版本的组织应立即优先进行安全更新。
成功利用CVE-2025-68493可能导致:
| 影响类型 | 描述 |
|---|---|
| 数据泄露 | 攻击者可提取敏感配置文件、数据库凭证和应用程序密钥 |
| 服务器端请求伪造(SSRF) | 内部网络资源和系统可能被入侵 |
| 拒绝服务(DoS) | 使用恶意XML负载可破坏应用程序可用性 |
Apache已发布Struts 6.1.1作为修复版本。组织应立即升级到此版本。
该补丁保持了向后兼容性,确保在不破坏现有应用程序的情况下顺利部署。
无法立即升级的组织可以实施临时缓解措施:
| 缓解措施 | 描述 |
|---|---|
| 自定义 SAXParserFactory | 通过将 xwork.saxParserFactory 设置为一个禁用外部实体的工厂类,来配置自定义SAXParserFactory |
| JVM 级别配置 | 使用JVM系统属性全局禁用外部实体:-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet="" |
这些缓解措施为组织规划升级时间表提供了临时保护。CVE-2025-68493对全球范围内的Struts 2部署构成了严重威胁。
立即打补丁应成为安全团队的首要任务,其次是验证那些无法立即升级的系统是否已落实缓解措施。
组织应审查其Struts 2资产清单,并制定加急的修补计划,以消除此关键漏洞带来的风险。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文