Критическая уязвимость, выявленная в компоненте XWork фреймворка Apache Struts 2, может позволить злоумышленникам похищать конфиденциальные данные, осуществлять атаки типа «отказ в обслуживании» и подделывать запросы на стороне сервера. Проблема, получившая идентификатор CVE-2025-68493, классифицируется как важная и затрагивает широкий спектр версий Struts 2, подвергая риску множество веб-приложений на Java.
Детали уязвимости
Суть уязвимости заключается в недостаточной проверке входных XML-данных при разборе конфигурации компонента XWork. Из-за небезопасной обработки XML система подвержена атакам типа XXE (XML External Entity injection, инъекция внешних XML-сущностей). На практике это означает, что злоумышленник может создать вредоносный XML-документ, который заставит приложение обрабатывать внешние сущности. В результате появляется возможность чтения локальных файлов, доступа к внутренним сетевым ресурсам, утечки чувствительной информации или нарушения доступности сервиса.
Особому риску подвержены приложения, которые используют XML-конфигурацию и обрабатывают данные из ненадёжных источников. Уязвимость затрагивает как устаревшие, так и актуальные ветки фреймворка, включая версии, поддержка которых уже прекращена, но которые до сих пор активно используются в промышленных средах. Разработчикам и администраторам настоятельно рекомендуется проверить все развёрнутые экземпляры Struts 2 на предмет наличия этой проблемы.
Команда Apache Struts рекомендует в качестве основного способа устранения уязвимости обновление до версии Struts 6.1.1 или более поздней. Исправление имеет обратную совместимость, что упрощает процесс обновления для большинства пользователей. Для организаций, которые не могут применить патч немедленно, доступны временные меры по усилению безопасности. Администраторы могут настроить кастомную фабрику SAXParserFactory, которая по умолчанию отключает обработку внешних сущностей. Альтернативным решением является установка системных свойств на уровне JVM для блокировки внешних DTD, схем и таблиц стилей.
Данная уязвимость была обнаружена и сообщена исследователями из ZAST.AI, что подчёркивает непрерывный интерес экспертов по безопасности к популярным Java-фреймворкам. Учитывая историю высокопрофильных инцидентов, связанных с Apache Struts, компаниям настоятельно советуют уделить приоритетное внимание устранению этой проблемы. Необходимо проверить и обновить все уязвимые версии в своих системах или, как минимум, применить доступные меры временной защиты, чтобы снизить риски до момента полного обновления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-68493
- https://nvd.nist.gov/vuln/detail/CVE-2025-68493
- https://cwiki.apache.org/confluence/display/WW/S2-069
