Struts2 S2-069 XXE漏洞 (CVE-2025-68493) 来袭，腾讯云主机安全RASP可自动防护

漏洞概述

Struts2 是一款基于 MVC 设计模式的开源 Java Web 框架，融合了 WebWork 框架的核心设计，是 Struts1 的后续版本，属于 Apache 基金会旗下的项目，主要用于简化 Java Web 应用的开发，广泛应用于企业级 Java Web 项目，如电商系统、管理后台等。

Struts2在历史上曾经多次出现过高危漏洞，最近Apache Struts官方修复了Apache Struts S2-069 XXE漏洞，CVE编号为CVE-2025-68493，漏洞位于XWork 组件中，是 Struts框架的命令模式框架。漏洞原因在于XWork对 XML的配置处理不当，导致系统极易受到 XML 外部实体 (XXE) 注入攻击，攻击者可以利用这个漏洞读取服务器上任意文件，泄漏敏感信息，或者执行拒绝服务（DoS）攻击。

鉴于漏洞细节与PoC代码已半公开，建议受影响用户立即采取修复措施，尽快升级到最新的版本或开启腾讯云安全RASP2.0应用保护能力（以下简称：应用保护），对服务器/容器资产进行保护。

漏洞详情

漏洞名称：Apache Struts2 XWork XML 外部实体注入(XXE)漏洞

漏洞编号：CVE-2025-68493

危害等级：高危

漏洞类型：应用漏洞

影响范围：

Apache Struts [>= 2.0.0, <= 2.3.37];

Apache Struts [>= 2.5.0, <= 2.5.33];

Apache Struts [>= 6.0.0, <= 6.1.0];

参考链接 ：Struts2 官方安全公告

https://cwiki.apache.org/confluence/display/WW/S2-069

处置建议

官方修复方案：

官方已经发布修复方案，请更新至Apache Struts 6.1.1 或更高版本。

腾讯云主机安全产品方案

开启腾讯云主机安全应用保护能力进行防御，基于通用防御规则，无需任何更新，即可防御该漏洞。

拦截结果演示：

腾讯云主机安全产品界面展示：

扫描二维码申请应用保护体验，并咨询热点漏洞防御最佳实践

图片

图片

图片

END

更多精彩内容点击下方扫码关注哦~

关注云鼎实验室，获取更多安全情报

图片