CVE-2025-68493

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Struts de 2.0.0 a 6.1.0

Descrição O problema é a ausência de verificação de validação de XML no Apache Struts, permitindo ataques de Entidade Externa XML (XXE). Essa falha está localizada no componente XWork e pode ser explorada por atacantes para ler arquivos sensíveis e, potencialmente, acionar Falsificação de Requisição do Lado do Servidor (SSRF) ou Negação de Serviço (DoS). A vulnerabilidade existe devido a um parser SAX não configurado dentro do componente DomHelper. Ocorreram aproximadamente 387.000 downloads de versões vulneráveis em uma única semana. A vulnerabilidade permite que atacantes leiam arquivos sensíveis e, dependendo da configuração do aplicativo, possam acionar SSRF/DoS.

Recomendações Atualize para a versão 6.1.1 ou posterior para resolver o problema. Se a aplicação de patches não for imediatamente possível, desative o processamento de entidades externas usando um SAXParserFactory personalizado ou propriedades da JVM.