Critical Apache Struts 2 Flaw Could Let Attackers Steal Sensitive Data
2026/01/12 gbhackers — Apache Struts 2 の XWork コンポーネントに、脆弱性 CVE-2025-68493 が発見された。この脆弱性は Important と評価されており、Struts 2.0.0 〜 2.3.37 (EOL)/2.5.0 〜 2.5.33 (EOL)/6.0.0 〜 6.1.0 までの広範なバージョンに影響を及ぼし、多くの Java Web アプリケーションに深刻なリスクをもたらす。この脆弱性が悪用されると、Java Web アプリケーションにおける機密データの漏洩/サービス拒否攻撃/サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃につながる可能性がある。
この問題は、XWork コンポーネント内における XML 設定解析時の、不適切な検証に起因する。XML 入力が安全に処理されていないため、このコンポーネントは XML 外部エンティティ (XXE) インジェクションに対して脆弱な状態にある。具体的には、攻撃者が悪意ある XML を作成し、アプリケーションに外部エンティティの処理を行わせることで、ローカルファイルの読み取り/内部ネットワーク・リソースへのアクセス/機密データの窃取/サービス可用性の妨害などが生じる恐れがある。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-68493 |
| Vulnerability Type | XML External Entity (XXE) injection in XWork component |
| Impact | Disclosure of data, Denial of Service (DoS), Server Side Request Forgery (SSRF) |
すべての Struts 2 開発者およびユーザーに対して、利用環境の再確認が強く推奨される。この脆弱性は、サポートが終了している状態で、本番環境で依然として広く使用されているバージョンを含め、レガシー・ブランチおよび現行ブランチの双方に影響する。特に、XML 設定に依存し、信頼できない入力にさらされているアプリケーションは、きわめて高いリスクに直面している。
Apache Struts チームが推奨するのは、Struts 6.1.1 以降への速やかなアップグレードである。Struts プロジェクト側によると、この修正は後方互換性が維持されているため、多くのユーザーにとってアップグレードは容易であるとのことだ。その一方で、直ちにパッチを適用できない組織においては、XML 解析動作を強化する一時的な緩和策の利用も可能とのことだ。
管理者にとって必要なことは、外部エンティティをデフォルトで無効化するカスタム SAXParserFactory の導入もしくは、JVM レベルのシステム・プロパティを設定による外部 DTD/スキーマ/スタイル・シートのブロックである。
この脆弱性は ZAST.AI により報告されたものであり、広く使用されている Java フレームワークに対する継続的な精査の必要性を示している。過去においても、Struts には深刻なセキュリティ・インシデントの経緯があるため、ユーザー組織にとって必要なことは、この脆弱性に対して優先的にパッチを適用することだ。さらに、脆弱なバージョンの削除と、適切な緩和策の実施についても確認する必要がある。
Java Web アプリケーション開発で長く愛用されてきた、Apache Struts 2 に深刻な脆弱性 CVE-2025-68493 が発見されました。この問題の原因は、 XWork コンポーネント内の、XML 設定解析時における不適切な検証にあります。具体的には、外部から渡された XML データを読み込む際に、その中に含まれる外部エンティティ (外部ファイルなどを参照する命令) を無効化せずに処理してしまう欠陥 ( XXE インジェクション) が存在していました。これにより攻撃者は、サーバ内のローカル・ファイルの読み取りや、内部ネットワークへ不正なリクエストを送信 (SSRF) などが可能になっていました。ご利用のチームは、ご注意ください。よろしければ、Struts での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.