Hack Alerta

Falha XXE no Apache Struts 2 expõe versões e recebe correção

Por Redação Hack Alerta Publicado em 12/01/2026 10:01 Riscos e Ameaças Tempo de leitura: 3 min

Vulnerabilidade XXE em Apache Struts 2 (CVE-2025-68493) afeta várias faixas de versão; Apache lançou Struts 6.1.1. Patching imediato é recomendado; mitigações JVM e SAXParserFactory foram publicadas.

Resumo

Uma falha de injeção XML External Entity (XXE) no Apache Struts 2 (CVE-2025-68493) foi divulgada e a Apache publicou a versão 6.1.1 com correção. A vulnerabilidade afeta várias faixas de versão amplamente utilizadas e permite vazamento de dados, SSRF e DoS em servidores que fazem parsing de XML.

Descoberta e escopo

Pesquisadores do ZAST.AI identificaram a vulnerabilidade no componente XWork do Struts 2, responsável pelo processamento de configuração em XML. O problema ocorre porque a biblioteca não valida corretamente entradas XML, permitindo que entidades externas sejam resolvidas — vetor clássico de XXE.

Versões afetadas e mitigação

  • A versão corrigida publicada pela Apache é a Struts 6.1.1.
  • Faixas citadas como afetadas: Struts 2.0.0–2.3.37, 2.5.0–2.5.33 e 6.0.0–6.1.0.

Para organizações que não possam atualizar de imediato, a publicação aponta duas alternativas temporárias:

  • Configurar um Custom SAXParserFactory desabilitando entidades externas e apontá‑lo via a propriedade xwork.saxParserFactory.
  • Configurações JVM para bloquear acesso a entidades externas globalmente: -Djavax.xml.accessExternalDTD="", -Djavax.xml.accessExternalSchema="" e -Djavax.xml.accessExternalStylesheet="".

Impacto técnico

O artigo original lista impactos concretos atribuíveis à exploração bem-sucedida:

  • Divulgação de dados: extração de arquivos de configuração, credenciais de banco e segredos de aplicação.
  • SSRF: uso da capacidade de resolver entidades externas para alcançar recursos internos por meio do servidor vulnerável.
  • DoS: processamento de XML malformado para esgotar recursos e derrubar serviços.

Evidências e limites do que se sabe

O relatório do ZAST.AI e a página de correção da Apache documentam a falha e o remédio. Não há, na matéria consultada, menção a exploração ativa em massa nem indicadores de comprometimento amplamente distribuídos; o texto classifica o problema como de impacto significativo e recomenda atualização imediata.

O que equipes de segurança devem fazer

  • Inventariar aplicações que usam Apache Struts 2 (todas as faixas citadas) e priorizar atualização para Struts 6.1.1.
  • Onde a atualização não seja imediata, aplicar as mitigations JVM ou configurar SAXParserFactory conforme orientação.
  • Monitorar logs de aplicação e de rede por requisições XML incomuns, solicitações a recursos internos via servidor web e picos de consumo de CPU/memória relacionados ao processamento de XML.
  • Revisar gestão de segredos e rotacionar credenciais expostas em configurações que possam ter sido acessadas.

Repercussão

A extensão do impacto depende das bases de instalação do Struts 2 nas infraestruturas afetadas. Por se tratar de um framework de aplicações web usado em aplicações corporativas, o risco é de ampla exposição de dados sensíveis quando combinado com configurações padrão que aceitam parsing de XML. A prioridade é atualizar ou mitigar rapidamente.

Fontes: ZAST.AI report; anúncio de correção da Apache Struts (Struts 6.1.1).
Baseado em publicação original de Cyber Security News
Tags: #apache #struts #xxe #cve-2025-68493 #java #xml #patch #vulnerabilidade #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar