CVE-2025-68493

plus petit que 1 minute de lecture

Mis à jour : January 13, 2026

Injection XXE dans Apache Struts 2

Une vulnérabilité de type Injection XML External Entity (XXE) affecte le composant XWork d’Apache Struts 2. Elle résulte d’une validation insuffisante des configurations XML lors de leur traitement. Cela permet à un attaquant d’injecter des entités externes malveillantes dans des fichiers XML.

L’exploitation de cette faille peut mener à la divulgation de données sensibles, à des attaques par déni de service, ou à des requêtes forgées côté serveur (SSRF).

Points Clés :

Type de vulnérabilité : Injection XXE (XML External Entity)
Composant affecté : XWork (framework de command-pattern) dans Apache Struts 2
Cause : Validation inadéquate des configurations XML par le composant XWork.
Impact potentiel : Divulgation de données, déni de service, SSRF.

Vulnérabilités :

CVE : CVE-2025-68493
Versions affectées :
- Apache Struts 2.0.0 à 2.3.37 (EOL)
- Apache Struts 2.5.0 à 2.5.33 (EOL)
- Apache Struts 6.0.0 à 6.1.0

Recommandations :

Mettre à jour vers Apache Struts 6.1.1 ou une version ultérieure.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68493

Partager sur

Vous pourriez aimer

Windows 11 KB5074109 & KB5073455 cumulative updates released

Who Decides Who Doesn’t Deserve Privacy?

What Should We Learn From How Attackers Leveraged AI in 2025?

L’IA, un catalyseur pour les méthodes d’attaque éprouvées

[Webinar] Securing Agentic AI: From MCPs and Tool Access to Shadow API Key Sprawl