一、漏洞详情
Apache Struts是一个基于Java的开源Web应用开发框架,主要用于构建企业级Web应用。
近日,监测到Apache Struts框架中XWork组件存在的一处XML外部实体注入(XXE)漏洞。该漏洞源于XWork在解析XML配置文件时,未对XML外部实体进行充分校验与限制,导致攻击者可通过构造恶意XML内容触发外部实体解析。成功利用后,可能造成敏感数据泄露、拒绝服务(DoS)以及服务器端请求伪造(SSRF)等安全影响。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.0.0 <= Apache Struts <= 2.3.37(2.3.x 分支已停止维护)
2.5.0 <= Apache Struts <= 2.5.33(2.5.x 分支已停止维护)
6.0.0 <= Apache Struts <= 6.1.0
三、修复建议
官方已发布修复补丁,以修复该漏洞。
Apache Struts >= 6.1.1
