軟體供應鏈中「老舊」與「消失」的認知落差

在現代企業的數位生態系統中，軟體組件的生命週期管理（LCM）往往被忽視。事實證明，即使在軟體領域，「老舊」也不意味著「消失」。網路安全公司 Sonatype 的研究人員在一份與 Hackread.com 分享的報告中透露，本周有超過 38.7 萬用戶下載了漏洞的 Apache Struts 版本，您的系統是否有風險？這不僅是一個技術維護問題，更是軟體供應鏈安全中的重大缺口，反映出開發社群與企業端對於遺留組件（Legacy Components）風險的低估。

人工智慧驅動的漏洞發現新紀元

此次資安事件最受矚目的特點在於其發現方式。Sonatype 的獨家研究揭示了人工智慧發現的一個高風險漏洞。我們討論的是一個名為 CVE-2025-68493 的特定漏洞。此次發現的獨特之處在於它的發現方式。根據 Apache Struts 安全公告 (S2-069)，該漏洞是由 Zast AI （一個自主人工智慧安全研究系統）發現的。

這象徵著威脅情資界限的移轉。眾所周知，人工智慧現在查找漏洞的速度比人類更快，這有點像一把雙面刃，因為它在發現漏洞的同時，也幾乎沒有給組織任何反應時間，其他人就會利用這些漏洞。當防禦者還在手動分析程式碼時，AI 系統已能大規模掃描並定位潛在的崩潰點，這極大化了漏洞的暴露速度。

技術原理剖析：XWork 組件與不安全 XML 解析

究竟哪裡出了問題？據 Sonatype 研究人員稱，問題出在 XWork 組件上，它是幫助軟體處理資料的主要引擎，而缺陷則涉及「不安全的 XML 解析」，基本上就是軟體讀取指令的方式。

從技術層面來看，這屬於輸入驗證類的邏輯缺陷。進一步調查顯示，攻擊者無需是間諜高手或完全控制電腦即可造成破壞。他們只需發送「精心構造的輸入」，就能迫使系統進入無限循環，不斷消耗 CPU 和記憶體直至崩潰。這對 Web 伺服器來說無異於一次數位心臟病發作。此漏洞影響的版本範圍很廣，從 2.0.0 到 6.1.0 均受影響，其通用漏洞評分系統（CVSS）嚴重性評分高達 8.8，屬於高危級別。

終止支援版本的「定時炸彈」效應

研究中最令人不安的發現並非漏洞本身，而是使用者行為所反映的安全惰性。死軟體問題成為了企業防線上的致命傷。真正令人震驚的是風險的規模。短短一週內，就有超過 38.7 萬人下載了這些有漏洞的版本，其中高達 98% 的下載量都是針對已停止維護（EOL）的版本。這些版本，例如 Struts 2.3，已經超過 2200 天沒有官方更新了。如果您正在使用這些版本，那麼不會有任何官方補丁可以修復，因為開發者多年前就停止了對它們的維護。這種「慣性下載」現象反映出開發者可能在構建新環境時，仍引用了過時的映像檔或舊有的開發範本，導致漏洞在無意間被傳播。

修復方案與防禦加固策略

針對此危機，升級至具備安全韌性的版本是唯一路徑。進一步調查顯示，雖然安全版 Struts 6.1.1 已經可用，但幾乎無人使用。這個新版本包含了「更嚴格的解析器加固」，可以抵禦此類攻擊。目前，同期下載量中只有約 1.8%（6243 次下載）是安全版。研究人員指出，這些舊版本仍然「深植」在公司系統中，如同定時炸彈。 6.1.1 之前的所有版本都應被視為危險版本。

建議如果您是開發人員或企業主，請立即檢查您的版本，因為修復此問題的視窗期正在迅速關閉。除了直接升級，企業應導入軟體組成分析（SCA）工具，自動識別專案中是否存在 EOL 組件。

構建具備前瞻性的數位防線

CVE-2025-68493 的案例提醒我們，資安威脅已進入自動化與 AI 化時代。當漏洞發現的效率倍增，防禦端必須縮短修補程式（Patch）的反應時間，並嚴格管理軟體清單（SBOM）。台灣應用軟件致力於協助企業從遺留系統的包袱中解脫，透過現代化的架構設計與持續監控，將定時炸彈轉化為穩定的基礎設施。在 AI 發現漏洞的時代，唯有比攻擊者更早地完成「自我修正」，才能確保數位資產的安全。