一、漏洞详情
Apache Tika是一个由Apache软件基金会维护的开源内容检测与分析工具包。
监测到官方修复Apache Tika XML外部实体注入漏洞(CVE-2025-66516),该漏洞源于Apache Tika在处理PDF文件中的XFA 内容时,未对外部实体进行充分限制,导致攻击者可以通过构造恶意的 XML 文件触发 XXE 攻击。成功利用此漏洞可导致服务器上的敏感信息(如配置文件、密码文件、源代码等)泄露、执行拒绝服务攻击,甚至在内网环境中进行端口扫描。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
1.13 <= Apache Tika core (org.apache.tika:tika-core) <= 3.2.1
1.13 <= Apache Tika parsers (org.apache.tika:tika-parsers) < 2.0.0
2.0.0 <= Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) <= 3.2.1
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
Apache Tika core >= 3.2.2
Apache Tika PDF parser module >= 3.2.2