关于Apache Tika XML外部实体注入漏洞(CVE-2025-66516)的预警提示
2025-12-09      阅读次数: 10

一、漏洞详情

Apache Tika是一个由Apache软件基金会维护的开源内容检测与分析工具包。

监测到官方修复Apache Tika XML外部实体注入漏洞(CVE-2025-66516),该漏洞源于Apache Tika在处理PDF文件中的XFA 内容时,未对外部实体进行充分限制,导致攻击者可以通过构造恶意的 XML 文件触发 XXE 攻击。成功利用此漏洞可导致服务器上的敏感信息(如配置文件、密码文件、源代码等)泄露、执行拒绝服务攻击,甚至在内网环境中进行端口扫描。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

1.13 <= Apache Tika core (org.apache.tika:tika-core) <= 3.2.1

1.13 <= Apache Tika parsers (org.apache.tika:tika-parsers) < 2.0.0

2.0.0 <= Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) <= 3.2.1

三、修复建议

官方已发布安全补丁,请及时更新至最新版本:

Apache Tika core >= 3.2.2

Apache Tika PDF parser module >= 3.2.2
[功能按钮]
打印
中国・江苏・常州:常州市中吴大道1801号(213001)
TEL:0086-519-86953560 CHANGZHOU CITY JIANGSU PROVINCE CHINA
版权所有 2005-2017 江苏理工学院信息中心制作维护