OG东方厅

首页 > 安全钻研 > 钻研汇报 > 安全缝隙分析

【复现】Apache Tika XXE缝隙（CVE-2025-66516）

颁布功夫 2025-12-15

Apache Tika是开源内容分析工具，Tika能从多种文件体式中抽取文本与中继数据，常被集成进搜索引擎、、、内容治理系统与各式数据处置平台，用于处置用户上传文件或批次导入文件。

近日，Apache Tika曝出严重XXE缝隙（CVE-2025-66516），CVSS评分10分。攻击者可机关含恶意XFA表单的PDF，在无交互情况下远程读取服务器敏感数据或提议内部要求。

影响领域

?主题�？？�?：：：tika-core（1.13-3.2.1）

?PDF解析�？？�?：：：tika-parser-pdf-module（2.0.0-3.2.1）

?旧版�？？�?：：：tika-parsers（1.13-1.28.5）

缝隙道理

为相识析PDF XFA中的XML数据，Tika会通过XMLReaderUtils类去机关一个XMLStreamReader，getXMLInputFactory中property并没有对外部实体和外部dtd进行防护，同时setXMLResolver中的Handler处置时将外部实体设置为空字符串。

以上的谬误会导致使用JDK内部的stax xml解析器处置XML文件时会出现XXE问题。

图片1.png

缝隙复现

通过在PDF文件中机关恶意的XXE,我们成功获得了Windows系统中win.ini文件的内容。

图片3.png

修复版本

tika-core：：：≥3.2.2

tika-parser-pdf-module：：：≥3.2.2

tika-parsers：：：≥2.0.0（1.x分支）

安全建议

? 立即升级?：：：将Apache Tika主题�？？椋╰ika-core）、、、解析器�？？椋╰ika-parsers）及PDF解析�？？椋╰ika-parser-pdf-module）升级至最新版本。

? 一时措施?：：：若无法立即升级，建议限度对Tika服务的接见，并监控异常流量，预防处置起源不明的PDF文件。

? 持续监控?：：：关注官方缝隙布告，定期进行安全审计，确保系统补丁实时更新。

参考链接：：：

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-66516

[2]https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

OG东方厅积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概念首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计颁布安全缝隙6500余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖基础安全钻研、、、数据安全钻研、、、5G安全钻研、、、AI+安全钻研、、、卫星安全钻研、、、运营商基础设施安全钻研、、、移动安全钻研、、、物联网安全钻研、、、车联网安全钻研、、、工控安全钻研、、、信创安全钻研、、、云安全钻研、、、无线安全钻研、、、高级威胁钻研、、、攻防匹敌技术钻研。钻研成就利用于产品主题技术钻研、、、国度重点科技项目攻关、、、专业安全服务等。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合众数据书生电子云子可信

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】