Apache Struts 2 存在XML验证缺失漏洞 (CVE-2025-68493)

Apache Struts 2 存在XML验证缺失漏洞 · CVE-2025-68493 · GitHub Advisory Database

漏洞详情

包:

• Maven: com.opensymphony:xwork
  • 受影响版本: >= 2.0.0, < 2.2.1
  • 已修补版本: 无
• Maven: org.apache.struts.xwork:xwork-core
  • 受影响版本: >= 2.2.1, < 6.1.1
  • 已修补版本: 无
• Maven: org.apache.struts:struts2-core
  • 受影响版本: >= 2.0.0, <= 2.3.37； >= 2.5.0, <= 2.5.33； >= 6.0.0, < 6.1.1
  • 已修补版本: 6.1.1

描述:

Apache Struts 中存在XML验证缺失漏洞。此问题影响以下Apache Struts版本：从2.0.0到2.2.1之前；以及从2.2.1到6.1.0。建议用户升级到修复了此问题的6.1.1版本。

参考链接:

• https://nvd.nist.gov/vuln/detail/CVE-2025-68493
• https://cwiki.apache.org/confluence/display/WW/S2-069
• http://www.openwall.com/lists/oss-security/2026/01/11/2

时间线:

• 由国家漏洞数据库发布：2026年1月11日
• 发布至GitHub Advisory Database：2026年1月11日
• 审核：2026年1月13日
• 最后更新：2026年1月16日

严重性

严重等级: 高

CVSS总体评分: 8.1 / 10

CVSS v3 基本指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 需要
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 高

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

EPSS评分: 0.126% (第33百分位)

缺陷

• 缺陷 CWE-112: 缺失XML验证
  • 产品接受来自不受信任来源的XML，但未根据正确的模式验证XML。
• 缺陷 CWE-611: 对XML外部实体引用的限制不当
  • 产品处理可能包含具有URI的XML实体的XML文档，这些URI解析到预期控制范围之外的文档，导致产品将其错误文档嵌入其输出中。

CVE ID: CVE-2025-68493

GHSA ID: GHSA-qcfc-hmrc-59x7

源代码: apache/strutsFINISHED

glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxe7SWb4ZTieJ6DsmdD/Q2u/pCJEyAdD2tpsQs7qWUmmIw==