Apache Struts 2 XML外部实体（XXE）注入漏洞（CVE-2025-68493）安全公告

已在 Apache Struts 2 中发现一个关键的 XML 外部实体（XXE）注入漏洞，该漏洞可能使数百万应用程序面临数据窃取和服务器被入侵的风险。 该漏洞被追踪为 CVE-2025-68493，影响该广泛使用的框架的多个版本，需要开发者和系统管理员立即采取行动。

漏洞概述

此安全缺陷存在于 Apache Struts 2 的 XWork 组件中，该组件负责处理 XML 配置解析。该组件未能正确验证 XML 输入，使应用程序易受 XXE 注入攻击。

攻击者可利用此漏洞访问受影响服务器上存储的敏感信息，或发起拒绝服务攻击。ZAST.AI 的安全研究人员发现了此漏洞并向 Apache Struts 团队进行了报告。由于该漏洞可能对数据保密性和系统可用性造成重大影响，因此被评定为"重要"（Important）安全级别。

受影响版本范围

该漏洞影响全球各类组织中正在使用的多个 Struts 2 版本：

运行以上任何版本的组织应立即优先进行安全更新。

漏洞影响

成功利用 CVE-2025-68493 可能导致以下后果：

修复方案与缓解措施

Apache 已发布 Struts 6.1.1 作为修复版本，该版本维持了向后兼容性，可确保平滑部署，不会破坏现有应用程序。建议所有组织立即升级至该版本。

对于无法立即升级的组织，可实施以下临时缓解措施：

重要提示 ：
CVE-2025-68493 对全球 Struts 2 部署构成了严重威胁。安全团队应将即时修补作为最高优先级，对于无法立即升级的系统，应确保已实施上述缓解措施。建议各组织立即审查其 Struts 2 资产清单，并制定加速修补计划，以消除此关键漏洞的暴露风险。