Java Web應用框架Apache Struts存在XXE漏洞,可致資料外洩、DoS或SSRF攻擊
漏洞簡介
Apache Struts專案發布安全公告,指出其XWork元件在解析XML設定檔時存在XML外部實體(XXE)注入風險。該漏洞編號為CVE-2025-68493,屬於重要等級,可能導致敏感資料外洩、阻斷服務(DoS)或被用於伺服器端請求偽造(SSRF)攻擊。
攻擊機制與風險
- 攻擊者可構造惡意XML內容,並透過惡意載入觸發XXE,使系統解析外部實體。
- 當系統處理被篡改的XML檔案時,可能被誘導去載入外部惡意資源,進而導致資料外洩。
- 成功利用後,可能實現任意文件讀取、拒絕服務(DoS)或服務端請求偽造(SSRF)。
影響範圍與修補建議
此漏洞影響範圍橫跨Apache Struts 2.0.0至6.1.0版本,建議使用者至少升級至Struts 6.1.1以完成修補。