Apache Struts 2.x <= 2.3.37 / 2.5.x <= 2.5.33 / 6.x < 6.1.1 XWork での XML 外部エンティティインジェクションS2-069
high Nessus プラグイン ID 290256
Language:
概要
リモートホストにインストールされている Apache Struts は、XML 外部エンティティインジェクションの脆弱性の影響を受けます。説明
リモートホストにインストールされている Apache Struts のバージョンは 2.0.0 、 [ 2.3.37、 2.5.02.5.33、または 6.x6.1.1より前の です。したがって、XWork コンポーネントの XML 外部エンティティインジェクションXXEの脆弱性の影響を受けます- Apache Struts に XML 検証の脆弱性がありません、Apache Struts。ユーザーには、この問題を修正したバージョンであるバージョン 6.1.1 へのアップグレードをお勧めします。(CVE-2025-68493)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache Strutsバージョン6.1.1以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 290256
ファイル名: struts_S2-069.nasl
バージョン: 1.2
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/1/16
更新日: 2026/2/6
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:C
CVSS スコアのソース: CVE-2025-68493
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:struts
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/1/11
脆弱性公開日: 2026/1/11
参照情報
CVE: CVE-2025-68493