Kritická zraniteľnosť Apache Tika umožňuje injektovať XML

Vývojári Apache Tika vydali opravné aktualizácie pre viacero modulov, do ktorých je možné injektovať externé entity XML. Zneužitím opravenej zraniteľnosti môže útočník získať schopnosť čítať citlivé dáta alebo vzdialene vykonávať kód.

Zraniteľné systémy:

• Apache Tika core (org.apache.tika:tika-core) 1.13 až 3.2.1
• Apache Tika parsers (org.apache.tika:tika-parsers) 1.13 až 1.28.5
• Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) 2.0.0 až 3.2.1

Opis činnosti:

CVE-2025-66516 (CVSSv4 skóre 10,0)

Vývojári Apache Tika opravili kritickú zraniteľnosť umožňujúcu injektovanie externého XML (útoky typu XXE) pomocou špeciálne vytvoreného súboru XFA vloženého v PDF. Útočník tak získa schopnosť čítať citlivé dáta, pristupovať ku interným zdrojom, a v najzávažnejšom prípade aj vzdialene vykonávať kód.

Zraniteľnosť je rozšírením predošlej CVE-2025-54988 o ďalšie zraniteľné moduly.

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Apache Tika-core a Tika-parser-pdf-module na verziu 3.2.2 a Tika-parsers na 2.0.0.

Odkazy:

• https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
• https://www.cve.org/CVERecord?id=CVE-2025-54988
• https://www.cve.org/CVERecord?id=CVE-2025-66516
• https://thehackernews.com/2025/12/critical-xxe-bug-cve-2025-66516-cvss.html