Se ha descubierto una vulnerabilidad de severidad alta en el framework de aplicaciones web Apache Struts. Un actor malicioso remoto no autenticado podría acceder a datos sensibles, realizar falsificación de solicitudes del lado del servidor o provocar una denegación de servicio.
Productos afectados
- Apache Struts: versiones hasta 6.1.0
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025–68493: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de validación XML faltante en el componente XWork de Apache Struts. Un actor malicioso podría enviar una carga útil XML especialmente manipulada para eludir las restricciones de seguridad, permitiendo la divulgación de datos sensibles, ataques de falsificación de solicitudes o el agotamiento de recursos del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-68493
- https://cwiki.apache.org/confluence/display/WW/S2-069