网安资讯详情 - SecLens 情报雷达

网安资讯,一网打尽。汇集权威漏洞通告与行业要闻,结合分组浏览、智能过滤、RSS订阅 和 Webhook 推送,多通道拓展您的安全情报视野。

关于防范Apache Struts2开源应用框架XML外部实体注入高危漏洞的风险提示

来源: cnvdb · 发布时间 2026-02-06 00:00 (UTC+08:00) · 抓取时间 2026-06-04 11:50 (UTC+08:00)

原文链接

摘要

近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在 XML 外部实体注入漏洞。 Apache Struts2 是一款开源的 Java Web 应用程序开发框架,广泛用于创建企业级 Web 应用程序。其 XWork 组件在解析 XML 配置文件时,未对外部实体进行充分校验与限制,可被攻击者恶意利用造成服务器端请求伪造、数据泄露、拒绝服务等危害。受影响的 Apache Struts2 版本包括: 2.0.0≤Ver≤2.3.37、2.5.0≤Ver≤2.5.33 、 6.0.0≤Ve...

正文

近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在 XML 外部实体注入漏洞。 Apache Struts2 是一款开源的 Java Web 应用程序开发框架,广泛用于创建企业级 Web 应用程序。其 XWork 组件在解析 XML 配置文件时,未对外部实体进行充分校验与限制,可被攻击者恶意利用造成服务器端请求伪造、数据泄露、拒绝服务等危害。受影响的 Apache Struts2 版本包括: 2.0.0≤Ver≤2.3.37、2.5.0≤Ver≤2.5.33 、 6.0.0≤Ver≤6.1.0 。 目前, Apache 官方已修复该漏洞并发布更新公告( URL 链接: https://cwiki.apache.org/confluence/display/WW/S2-069 )。 建议相关单位和用户立即开展隐患排查,及时升级至最新安全版本, 或通过配置禁用外部实体等临时措施 防范网络攻击风险。

扩展字段

{
  "click_number": 0,
  "content_html": "<p style=\"text-indent: 32pt; line-height: 2;\"><span style=\"font-size: 19px; font-family: 宋体;\">近日,工业和信息化部网络安全威胁和漏洞信息共享平台(</span><span style=\"font-size: 19px; font-family: &quot;Times New Roman&quot;;\">NVDB</span><span style=\"font-size: 19px; font-family: 宋体;\">)监测发现,开源应用框架</span><span style=\"font-size: 19px; font-family: &quot;Times New Roman&quot;;\">Apache Struts2</span><span style=\"font-size: 19px; font-family: 宋体;\">存在</span><span style=\"font-size: 19px; font-family: &quot;Times New Roman&quot;;\">XML</span><span style=\"font-size: 19px; font-family: 宋体;\">外部实体注入漏洞。</span></p><p style=\"text-indent: 32pt; line-height: 2;\"><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">Apache Struts2</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">是一款开源的</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">Java Web</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">应用程序开发框架,广泛用于创建企业级</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">Web</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">应用程序。其</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">XWork</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">组件在解析</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">XML</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">配置文件时,未对外部实体进行充分校验与限制,可被攻击者恶意利用造成服务器端请求伪造、数据泄露、拒绝服务等危害。受影响的</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">Apache Struts2</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">版本包括:</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">2.0.0≤Ver≤2.3.37、2.5.0≤Ver≤2.5.33</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">、</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">6.0.0≤Ver≤6.1.0</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">。</span></p><p style=\"text-indent: 32pt; line-height: 2;\"><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">目前,</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">Apache</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">官方已修复该漏洞并发布更新公告(</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">URL</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">链接:</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: &quot;Times New Roman&quot;;\">https://cwiki.apache.org/confluence/display/WW/S2-069</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">)。</span><span style=\"font-size: 19px; font-family: 宋体;\">建议相关单位和用户立即开展隐患排查,及时升级至最新安全版本,</span><span style=\"color: rgb(0, 0, 0); font-size: 19px; font-family: 宋体;\">或通过配置禁用外部实体等临时措施</span><span style=\"font-size: 19px; font-family: 宋体;\">防范网络攻击风险。</span></p>",
  "create_time": "2026-02-06T14:48:59.000+08:00",
  "origin": "工业和信息化部网络安全威胁和漏洞信息共享平台",
  "record_type": 1,
  "release_time_raw": "2026-02-06T00:00:00.000+08:00",
  "system_type": 2,
  "update_time": "2026-04-10T14:46:01.000+08:00"
}