Apache Tika工具包(用于检测和提取上千种文件类型元数据的行业标准)已发布 最高级别安全警报。一个编号为 CVE-2025-66516 的严重XML外部实体(XXE)漏洞,对依赖Tika进行内容分析的应用构成 灾难性风险。该漏洞CVSS评分为 10.0,攻击者只需上传恶意PDF即可攻陷服务器。
漏洞源于工具包处理PDF文件中 XFA(XML表单架构)数据 的方式。安全公告指出:“Apache Tika中的严重XXE漏洞……允许攻击者通过PDF中特制的XFA文件执行XML外部实体注入。”
此次公告尤为重要,因为它是对先前披露(CVE-2025-54988)的 关键修正——原报告低估了漏洞的影响范围。
Apache团队发现,仅修补PDF模块 并不充分。“尽管漏洞入口点是CVE-2025-54988中报告的tika-parser-pdf-module,但漏洞本身及修复位于tika-core中。”
这意味着许多管理员在完成上次补丁更新后可能仍处于暴露状态。报告明确警告:“仅升级tika-parser-pdf-module而未将tika-core升级至≥3.2.2的用户仍会受影响。”
该漏洞影响Tika的 核心引擎,因此影响范围比最初认为的更广,涵盖旧版1.x解析器和现代模块。
受影响组件包括:
- Apache Tika Core:1.13至3.2.1版本
- Apache Tika Parsers:1.13至2.0.0之前版本
- Apache Tika PDF Parser Module:2.0.0至3.2.1版本
Apache Tika设计为 通用解析器,可通过单一接口解析所有支持的文件类型,广泛用于搜索引擎索引、内容分析、翻译等场景。
然而,这种通用性在解析PDF等复杂格式时成为隐患。攻击者通过在PDF的XFA部分嵌入恶意XML载荷,可诱使Tika核心处理外部实体,进而导致 敏感数据泄露、拒绝服务或服务器端请求伪造(SSRF)。
由于先前CVE的混淆,此次更新 至关重要。若应用依赖项包含tika-core 3.2.1或更早版本,你的系统已面临风险。
必须立即升级依赖项,确保tika-core版本为3.2.2或更高。
发表评论
您还未登录,请先登录。
登录