Apache Struts 2.5.25 曝 15 项高危漏洞，最高 CVSS 9.8 可达性攻击风险

Apache Struts 2 框架的一个核心版本正面临严重的安全威胁。在 `struts2-core-2.5.25.jar` 库中，安全扫描发现了多达 15 个漏洞，其中最高严重性评分为 CVSS 9.8 的“严重”级别。更关键的是，这些漏洞被标记为“可达的”，意味着攻击者有可能通过网络直接利用这些漏洞，对使用该版本的应用发起远程攻击。

此次漏洞发现源于对 GitHub 仓库 `TravisPooley/vulhub` 中特定提交的扫描。漏洞库的具体路径为 `/home/wss-scanner/.m2/repository/org/apache/struts/struts2-core/2.5.25/struts2-core-2.5.25.jar`。该版本是 Apache Struts 2 框架的一个广泛使用的核心组件，用于构建 Java Web 应用程序。CVSS 9.8 的评分表明漏洞具有极高的可利用性和潜在影响，通常涉及远程代码执行等关键风险。

对于依赖此版本 Struts 框架的企业和开发者而言，这是一个紧迫的安全警报。由于漏洞具有“可达性”，未及时修补的系统面临被入侵的切实风险，可能导致数据泄露、服务中断或服务器被完全控制。开发团队需要立即检查项目依赖，确认是否使用了受影响的 `struts2-core-2.5.25.jar`，并尽快升级到已发布修复的安全版本。此事件再次凸显了在软件供应链中持续进行依赖项安全扫描和及时更新的极端重要性。