[TLP:CLEAR] Apache Struts 2 opravuje vysoce závažnou zranitelnost
Apache Struts 2 verzí 6.1.1 opravuje vysoce závažnou zranitelnost [1].
Neautentizovanému vzdálenému útočníkovi je za určitých podmínek zasláním speciálně upraveného XML umožněno získat potenciálně citlivá data serveru, vykonat útok DoS, případně SSRF. Zranitelnost se týká komponenty XWork. Není-li okamžitá aktualizace možná, lze riziko dočasně mitigovat úpravou konfigurace na úrovni JVM, nebo nastavením 'xwork.saxParserFactory=' na vlastní třídu zakazující externí entity. Více informací k dočasným opravám naleznete na [1].
Zranitelnost se nachází v produktu Apache Struts ve verzích (>=2.0.0 AND <=2.3.37) OR (>=2.5.0 AND <=2.5.33) OR (>=6.0.0 AND <6.1.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
Více informací:
- CVE-2025-68493 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-112: Missing XML Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 1. 2026.
Za CESNET-CERTS Michaela Ručková dne 12. 1. 2026.
