GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 安全缝隙分析

【复现】Apache Tika XXE缝隙（CVE-2025-66516）

颁布功夫 2025-12-15

Apache Tika是开源内容分析工具，Tika能从多种文件体式中抽取文本与中继数据，常被集成进搜索引擎、内容治理系统与各式数据处置平台，用于处置用户上传文件或批次导入文件。

近日，Apache Tika曝出严沉XXE缝隙（CVE-2025-66516），CVSS评分10分。攻击者可机关含恶意XFA表单的PDF，在无交互情况下远程读取服务器敏感数据或提议内部要求。

影响领域

?主题�？�?：tika-core（1.13-3.2.1）

?PDF解析�？�?：tika-parser-pdf-module（2.0.0-3.2.1）

?旧版�？�?：tika-parsers（1.13-1.28.5）

缝隙道理

为相识析PDF XFA中的XML数据，Tika会通过XMLReaderUtils类去机关一个XMLStreamReader，getXMLInputFactory中property并没有对表部实体和表部dtd进行防护，同时setXMLResolver中的Handler处置时将表部实体设置为空字符串。

以上的谬误会导致使用JDK内部的stax xml解析器处置XML文件时会出现XXE问题。

图片1.png

缝隙复现

通过在PDF文件中机关恶意的XXE,我们成功获得了Windows系统中win.ini文件的内容。

图片3.png

建复版本

tika-core：≥3.2.2

tika-parser-pdf-module：≥3.2.2

tika-parsers：≥2.0.0（1.x分支）

安全建议

? 当即升级?：将Apache Tika主题�？椋╰ika-core）、解析器�？椋╰ika-parsers）及PDF解析�？椋╰ika-parser-pdf-module）升级至最新版本。

? 一时措施?：若无法当即升级，建议限度对Tika服务的接见，并监控异常流量，预防处置起源不明的PDF文件。

? 持续监控?：关注官方缝隙布告，定期进行安全审计，确保系统补丁实时更新。

参考链接：

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-66516

[2]https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

GA黄金甲积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概想首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计颁布安全缝隙6500余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖基础安全钻延注数据安全钻延注5G安全钻延注AI+安全钻延注卫星安全钻延注运营商基础设施安全钻延注移动安全钻延注物联网安全钻延注车联网安全钻延注工控安全钻延注信创安全钻延注云安全钻延注无线安全钻延注高级威胁钻延注攻防匹敌技术钻研。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】