近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts安全漏洞安全漏洞（CNNVD-202601-1787、CVE-2025-68493）情况的报送。成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。Apache Struts多个版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一、漏洞介绍

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。

Apache Struts的XWork组件在解析XML配置文件时未对输入进行充分的安全校验，攻击者可通过提交恶意XML文档，诱使服务器在解析过程中加载文件触发漏洞。成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。

二、危害影响

Apache Struts 2.0.0版本至2.3.37版本、2.5.0版本至2.5.33版本、6.0.0 版本至6.1.0版本在安全漏洞。

三、修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一 审：费 鸿

二 审：黄家琴

三 审：程 序