Apache Tika XML 外部实体注入漏洞(CVE-2025-66516)预警
1、基本情况
Apache Tika 是一个开源的内容分析工具,用于从各种文档格式中提取文本和元数据。它支持多种文件类型,包括 PDF、MicrosoftOffice 文档、HTML、XML 等。Tika 的核心模块提供统一的 API,可以轻松集成到其他应用中,帮助开发人员自动化内容提取过程。通过使用 Tika,用户可以对大规模文档进行分析和索引,广泛应用于数据挖掘、搜索引擎和内容管理系统等领域。
近日,监测发现 Apache 官方发布安全公告修复了 Apache TikaXML 外部实体注入漏洞(CVE-2025-66516),攻击者可以通过在 PDF 文件中嵌入精心构造的 XFA 文件,利用该漏洞执行恶意的外部实体调用,从而造成信息泄露或远程代码执行等严重安全风险。该漏洞的严重性在于,它能够通过恶意的 XML 文件触发外部实体注入,可能导致敏感数据泄露或系统被远程控制。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ 1.13 <= Apache Tika core (org.apache.tika:tikacore) <= 3.2.1
⚫ 1.13 <= Apache Tika parsers (org.apache.tika:tikaparsers) < 2.0.0
⚫ 2.0.0 <= Apache Tika PDF parser module(org.apache.tika:tika-parser-pdf-module) <= 3.2.1
3、处置建议
官方已发布安全补丁,请及时升级至最新版本。
下载地址:https://tika.apache.org/download.html/
4、参考链接
1) https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k/
2) https://nvd.nist.gov/vuln/detail/CVE-2025-66516