本站原创:Apache Struts 2 XML外部实体注入漏洞(CVE-2025-68493)排查方法
- 2026 年 1 月 13 日,Apache Struts 2 框架曝出 XML 外部实体注入高危漏洞(CVE-2025-68493),该漏洞覆盖 2.5.x 至 6.0.x 多个主流版本,攻击者可通过构造恶意请求窃取服务器敏感数据,甚至远程执行代码入侵内部网络。奇安信威胁情报中心监测显示,国内关联风险资产达 6015 个,涉及金融、政务、能源等关键行业,官方已紧急发布修复版本,建议用户立即升级并开展全网资产排查。
- 本文由守阙安全团队制作,采用自动化扫描与手动排查相结合的方式,阐述该漏洞的排查方法。其中,自动化扫描适用于大范围资产初筛,兼具效率高、覆盖广的优势,可快速锁定疑似漏洞目标;手动排查针对疑似目标开展精准核验,能有效规避自动化工具误报问题,是确认漏洞是否真实存在的核心手段。
- 1、自动化扫描
- 采用Burp Suite或OWASP ZAP工具,将用户网络中授权的目标资产加入扫描范围,仅勾选“XML外部实体注入”相关规则,关闭高危攻击模块并低速率扫描,规避防护拦截与业务影响。扫描后记录疑似漏洞的请求响应数据,作为后续手动排查的重点对象。
- 2、手动排查方法
- 1)抓包获取原始请求:通过Burp Suite拦截用户网络中目标系统的合法XML请求(以登录接口为例),明确请求结构与参数位置,为构造排查请求做准备。
- 2)构造恶意请求排查文件读取漏洞:基于原始请求格式插入外部实体定义,读取系统非敏感文件(如Linux /etc/hosts、Windows win.ini),规避用户敏感业务数据,精准排查漏洞是否存在。
- 若响应中返回目标文件特征内容,说明用户网络中该目标存在此漏洞;反之则暂未排查到漏洞。排查后及时清理请求记录,避免留存冗余数据。
- 3)排查漏洞内网利用能力在授权范围内,构造指向用户内网合法测试资源的请求,排查漏洞是否具备内网拓展利用的可能性。
- 通过流量监测工具分析,若目标主动访问内网测试地址,说明漏洞可用于内网渗透,需立即终止该环节并详细记录,为后续防护提供依据;无访问行为则说明该维度无利用风险。
- 4)curl命令快速排查:若受用户网络拓扑限制无法使用抓包工具,可通过curl命令构造轻量请求快速排查,单次发送避免批量操作触发防护告警。
- 响应中包含目标文件特征内容,即可确认用户网络中该目标存在漏洞;无对应内容则暂未排查到漏洞。排查全程需严守用户授权边界,仅在指定范围和低峰时段操作,规避业务影响与防护告警。
- 3、漏洞修复要点
- 1)紧急禁用外部实体:修改struts.xml配置,添加<constant name="struts.xml.parser.disableExternalEntities" value="true"/>,或在代码中禁用解析器外部实体加载,然后重启服务器。
2)过滤恶意请求:Nginx添加规则,拦截含 <!DOCTYPE、<!ENTITY、SYSTEM 的XML请求,返回403禁止访问。
3) 升级框架版本:Struts 2.5.x升级至2.5.37+,6.0.x升级至6.0.14+,升级前备份jar包与配置,升级后验证业务正常性。
4)修复验证:重新测试验证,构造恶意请求无漏洞触发,自动化扫描无相关告警,即表示漏洞修复成功。
- 4、总结
- CVE-2025-68493漏洞利用门槛低、危害大,排查的核心为“自动化初筛+手动精准排查”,排查发现漏洞后,需遵循“临时止损+根本升级”原则,优先禁用外部实体快速阻断风险,再升级框架彻底修复。