Μια κρίσιμη ευπάθεια έγχυσης εξωτερικής οντότητας XML (XXE) ανακαλύφθηκε στο Apache Struts 2, εκθέτοντας δυνητικά εκατομμύρια εφαρμογές σε κλοπή δεδομένων και παραβίαση διακομιστή.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-68493, επηρεάζει πολλές εκδόσεις του ευρέως χρησιμοποιούμενου πλαισίου και απαιτεί άμεση δράση από τους προγραμματιστές και τους διαχειριστές συστήματος.
Επισκόπηση ευπάθειας
Το ελάττωμα ασφαλείας υπάρχει στο στοιχείο XWork του Apache Struts 2, το οποίο χειρίζεται την ανάλυση διαμόρφωσης XML.
Το στοιχείο αποτυγχάνει να επικυρώσει σωστά την είσοδο XML, αφήνοντας τις εφαρμογές ευάλωτες σε επιθέσεις έγχυσης XXE.
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Επηρεασμένο στοιχείο | Εκδόσεις που επηρεάζονται |
|---|---|---|---|
| CVE-2025-68493 | Έγχυση XML External Entity (XXE). | Στοιχείο XWork | Αντηρίδες 2.0.0–2.3.37,2.5.0–2.5.33,6.0.0–6.1.0 |
Οι φορείς απειλών μπορούν να εκμεταλλευτούν αυτήν την αδυναμία για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες που είναι αποθηκευμένες σε διακομιστές που επηρεάζονται ή να εξαπολύσουν επιθέσεις άρνησης υπηρεσίας.
Οι ερευνητές ασφαλείας στο ZAST.AI εντόπισαν την ευπάθεια και την ανέφεραν στην ομάδα Apache Struts.
Η ευπάθεια έλαβε βαθμολογία ασφαλείας “Σημαντική” λόγω της πιθανής επίδρασής της στην εμπιστευτικότητα των δεδομένων και στη διαθεσιμότητα του συστήματος.
Η ευπάθεια επηρεάζει ένα ευρύ φάσμα εκδόσεων Struts 2 που χρησιμοποιούνται αυτήν τη στιγμή σε οργανισμούς παγκοσμίως:
| Εύρος εκδόσεων που επηρεάζεται | Κατάσταση |
|---|---|
| Struts 2.0.0 – 2.3.37 | Τέλος Ζωής |
| Struts 2.5.0 – 2.5.33 | Τέλος Ζωής |
| Αντηρίδες 6.0.0 – 6.1.0 | Ενεργή Υποστήριξη |
Οι οργανισμοί που εκτελούν οποιαδήποτε από αυτές τις εκδόσεις θα πρέπει να δώσουν προτεραιότητα στις ενημερώσεις ασφαλείας αμέσως.
Η επιτυχής εκμετάλλευση του CVE-2025-68493 θα μπορούσε να οδηγήσει σε:
| Τύπος κρούσης | Περιγραφή |
|---|---|
| Αποκάλυψη Δεδομένων | Οι εισβολείς μπορούν να εξαγάγουν ευαίσθητα αρχεία διαμόρφωσης, διαπιστευτήρια βάσης δεδομένων και μυστικά εφαρμογών |
| Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF) | Οι εσωτερικοί πόροι και τα συστήματα του δικτύου μπορεί να τεθούν σε κίνδυνο |
| Άρνηση υπηρεσίας (DoS) | Η διαθεσιμότητα της εφαρμογής μπορεί να διαταραχθεί χρησιμοποιώντας κακόβουλα ωφέλιμα φορτία XML |
Ο Apache έχει απελευθερώθηκε Struts 6.1.1 ως σταθερή έκδοση. Οι οργανισμοί θα πρέπει να αναβαθμίσουν σε αυτήν την έκδοση αμέσως.
Η ενημερωμένη έκδοση κώδικα διατηρεί συμβατότητα προς τα πίσω, εξασφαλίζοντας ομαλή ανάπτυξη χωρίς να παραβιάζονται οι υπάρχουσες εφαρμογές.
Οι οργανισμοί που δεν μπορούν να αναβαθμιστούν άμεσα μπορούν να εφαρμόσουν προσωρινές λύσεις:
| Προσέγγιση Μετριασμού | Περιγραφή |
|---|---|
| Προσαρμοσμένο SAXParserFactory | Διαμόρφωση ενός προσαρμοσμένου SAXParserFactory με ρύθμιση xwork.saxParserFactory σε μια εργοστασιακή κλάση που απενεργοποιεί εξωτερικές οντότητες |
| Διαμόρφωση επιπέδου JVM | Απενεργοποιήστε τις εξωτερικές οντότητες παγκοσμίως χρησιμοποιώντας ιδιότητες συστήματος JVM:-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet="" |
Αυτές οι λύσεις παρέχουν προσωρινή προστασία ενώ οι οργανισμοί σχεδιάζουν χρονοδιαγράμματα αναβάθμισης. Το CVE-2025-68493 αντιπροσωπεύει μια σοβαρή απειλή για τις αναπτύξεις Struts 2 παγκοσμίως.
Η άμεση επιδιόρθωση θα πρέπει να είναι η κορυφαία προτεραιότητα για τις ομάδες ασφαλείας, ακολουθούμενη από την επαλήθευση ότι υπάρχουν λύσεις για συστήματα που δεν μπορούν να αναβαθμιστούν αμέσως.
Οι οργανισμοί θα πρέπει να επανεξετάσουν το απόθεμά τους στο Struts 2 και να αναπτύξουν ένα πρόγραμμα ταχείας ενημέρωσης κώδικα για να εξαλείψουν την έκθεση σε αυτήν την κρίσιμη ευπάθεια.
