新たに公開されたApache Struts 2のXWorkコンポーネントにおける脆弱性は、未修正のまま放置すると機密データが露出し、サービス拒否やサーバーサイド・リクエスト・フォージェリ(SSRF)攻撃への道を開く可能性があります。
この欠陥は CVE-2025-68493 として追跡されており、重要(Important)と評価されています。Struts 2の幅広いバージョンに影響し、多くのJava Webアプリケーションが危険にさらされます。
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-68493 |
| 脆弱性の種類 | XWorkコンポーネントにおけるXML外部エンティティ(XXE)インジェクション |
| 影響 | データ漏えい、サービス拒否(DoS)、サーバーサイド・リクエスト・フォージェリ(SSRF) |
この問題は、XWorkコンポーネント内でのXML設定解析における不適切な検証に起因します。
XML入力が安全に処理されないため、このコンポーネントは XML外部エンティティ(XXE)インジェクション に対して脆弱です。
実際には、攻撃者が悪意のあるXMLを作成してアプリケーションに外部エンティティを処理させ、ローカルファイルの読み取り、内部ネットワークリソースへのアクセス、機密データの持ち出し、またはサービスの可用性を妨害することが可能になります。
すべての Struts 2の開発者およびユーザー は、自身の導入環境を確認するよう強く求められています。この脆弱性は、保守が終了しているものの本番環境で依然として広く使用されているEOL(サポート終了)版を含む、旧ブランチおよび現行ブランチの両方に影響します。
XML設定に依存し、かつ信頼できない入力にさらされているアプリケーションは、特にリスクが高いとされています。
Apache Strutsチームは、主要な対策として Struts 6.1.1以降 へのアップグレードを推奨しています。
プロジェクトは、この修正が 後方互換性 を備えており、多くのユーザーにとってアップグレードが容易になると述べています。直ちにパッチを適用できない組織向けには、XML解析の挙動を強化することで一時的な緩和策も利用可能です。
管理者は、外部エンティティをデフォルトで無効化する カスタム SAXParserFactory を導入するか、外部DTD、スキーマ、スタイルシートをブロックするための JVMレベルのシステムプロパティ を設定できます。
この脆弱性は ZAST.AI によって報告され、広く利用されているJavaフレームワークに対する継続的な精査を浮き彫りにしています。
Strutsは過去に注目度の高いセキュリティインシデントを経験していることから、組織はこの欠陥をパッチ適用の優先順位の上位に置き、脆弱なバージョンが排除されているか、または十分に緩和されていることを確認するよう強く推奨されます。
翻訳元: https://gbhackers.com/critical-apache-struts-2-flaw/
