公開日:2026/01/14 最終更新日:2026/01/14

JVNVU#91185180
Apache Struts 2におけるXML検証の欠如の脆弱性(S2-069)

概要

The Apache Software Foundationが提供するApache Struts 2には、XML検証の欠如の脆弱性が存在します。

影響を受けるシステム

  • Apache Struts 6.0.0から6.1.0
  • Apache Struts 2.5.0から2.5.33
  • Apache Struts 2.0.0から2.3.37
Apache Struts 2.0.0から2.3.37および2.5.0から2.5.33はすでにEOL(End-of-Life)となっています。

詳細情報

The Apache Software Foundationが提供するApache Struts 2には、XML検証の欠如の脆弱性(CWE-112、CVE-2025-68493)が存在します。XWorkコンポーネントがXMLを解析する際に適切な検証が行われず、XML外部エンティティ(XXE)を利用して任意の外部リソースが参照される可能性があります。

想定される影響

データ漏えいやサービス運用妨害(DoS)攻撃、サーバーサイドリクエストフォージェリ(SSRF)攻撃等の被害が生じる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。

  • Apache Struts 6.1.1
ワークアラウンドを実施する
開発者からアップデートが適用できない場合の回避策が示されています。
詳細は開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation S2-069

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia