🔥 この記事の詳細
2026-05-23 更新
B
今週中

Apache StrutsのXWorkコンポーネントに外部エンティティ注入(XXE)の脆弱性(S2-069 / CVE-2025-68493)

脆弱性🌐 英語ソース
🖥️ 製品Apache
🔢 CVECVE-2025-68493
📅 2026-05-23📰 nsfocus
📌 一言でいうと
Apache StrutsのXWorkコンポーネントに外部エンティティ注入(XXE)の脆弱性(S2-069 / CVE-2025-68493)が発見されました。攻撃者が悪意のあるXMLデータを送信することで、サーバー上の機密ファイルの読み取り、SSRF、またはサービス拒否(DoS)攻撃を実行できる可能性があります。CVSSスコアは9.8と非常に高く、既にPoCが公開されているため、迅速なアップデートが推奨されます。
🔍該当判定
  • 自社で開発・運用しているJava製のWebアプリケーションで「Apache Struts」を利用している
  • Apache Strutsのバージョンが 2.0.0 〜 2.5.33、または 6.0.0 〜 6.1.0 である
  • pom.xml や lib フォルダ内のライブラリを確認し、上記の影響を受けるバージョンが検出された
上記いずれにも該当しない → 静観でOK
該当時の対応
最新バージョン(Apache Struts 6.1.1以降)への速やかなアップデートを推奨します。アップデートが困難な場合は、XML解析設定の制限などの暫定的な緩和策を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Apache Struts XXE脆弱性 (CVE-2025-68493) 対応について

お疲れさまです。Apache Strutsの脆弱性に関する情報共有です。

■ 概要
Apache StrutsのXWorkコンポーネントにおいて、外部エンティティ注入(XXE)の脆弱性が発見されました。CVSSスコアは9.8(CRITICAL)であり、攻撃者がサーバー内の機密ファイルを読み取ったり、DoS攻撃を仕掛けたりすることが可能です。既にPoCが公開されており、悪用されるリスクが高まっています。

■ 影響範囲
- Apache Struts 2.0.0 <= バージョン <= 2.3.37 (EOL)
- Apache Struts 2.5.0 <= バージョン <= 2.5.33 (EOL)
- Apache Struts 6.0.0 <= バージョン <= 6.1.0

■ 対応手順
1. 利用中のApache Strutsのバージョンを確認(pom.xmlまたはlib内のコアパッケージを確認)。
2. 影響を受けるバージョンである場合、最新バージョン(6.1.1以降)へアップデートを実施してください。

■ 参考情報
- 公式アドバイザリ: https://cwiki.apache.org/confluence/display/WW/S2-069
- ダウンロード: https://struts.apache.org/download.cgi

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Apache Struts XXE Vulnerability (CVE-2025-68493)

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in Apache Struts.

■ Overview
An XML External Entity (XXE) injection vulnerability (S2-069 / CVE-2025-68493) has been discovered in the XWork component of Apache Struts. With a CVSS score of 9.8, this flaw allows attackers to read sensitive server files, perform SSRF, or execute Denial of Service (DoS) attacks. Public PoCs are already available.

■ Affected Versions
- Apache Struts 2.0.0 <= version <= 2.3.37 (EOL)
- Apache Struts 2.5.0 <= version <= 2.5.33 (EOL)
- Apache Struts 6.0.0 <= version <= 6.1.0

■ Remediation Steps
1. Verify the current version of Apache Struts in use (check pom.xml or core packages in lib).
2. If an affected version is found, upgrade to version 6.1.1 or later immediately.

■ Reference
- Official Advisory: https://cwiki.apache.org/confluence/display/WW/S2-069
- Downloads: https://struts.apache.org/download.cgi

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-23 のまとめ🔍 記事を検索