918博天堂

首页 > 清静研究 > 研究报告 > 清静误差剖析

【复现】Apache Tika XXE误差（CVE-2025-66516）

宣布时间 2025-12-15

Apache Tika是开源内容剖析工具，，，，，，Tika能从多种文件名堂中抽取文本与中继数据，，，，，，常被集成进搜索引擎、内容治理系统与各式数据处置惩罚平台，，，，，，用于处置惩罚用户上传文件或批次导入文件。。。。

克日，，，，，，Apache Tika曝出严重XXE误差（CVE-2025-66516），，，，，，CVSS评分10分。。。。攻击者可结构含恶意XFA表单的PDF，，，，，，在无交互情形下远程读取效劳器敏感数据或提倡内部请求。。。。

影响规模

?焦点�？？？？？�?：tika-core（1.13-3.2.1）

?PDF剖析�？？？？？�?：tika-parser-pdf-module（2.0.0-3.2.1）

?旧版�？？？？？�?：tika-parsers（1.13-1.28.5）

误差原理

为了剖析PDF XFA中的XML数据，，，，，，Tika会通过XMLReaderUtils类去结构一个XMLStreamReader，，，，，，getXMLInputFactory中property并没有对外部实体和外部dtd举行防护，，，，，，同时setXMLResolver中的Handler处置惩罚时将外部实体设置为空字符串。。。。

以上的过失会导致使用JDK内部的stax xml剖析器处置惩罚XML文件时会泛起XXE问题。。。。

图片1.png

误差复现

通过在PDF文件中结构恶意的XXE,我们乐成获得了Windows系统中win.ini文件的内容。。。。

图片3.png

修复版本

tika-core：≥3.2.2

tika-parser-pdf-module：≥3.2.2

tika-parsers：≥2.0.0（1.x分支）

清静建议

? 连忙升级?：将Apache Tika焦点�？？？？？椋╰ika-core）、剖析器�？？？？？椋╰ika-parsers）及PDF剖析�？？？？？椋╰ika-parser-pdf-module）升级至最新版本。。。。

? 暂时步伐?：若无法连忙升级，，，，，，建议限制对Tika效劳的会见，，，，，，并监控异常流量，，，，，，阻止处置惩罚泉源不明的PDF文件。。。。

? 一连监控?：关注官方误差通告，，，，，，按期举行清静审计，，，，，，确保系统补丁实时更新。。。。

参考链接：

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-66516

[2]https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

918博天堂起劲防御实验室（ADLab）

ADLab建设于1999年，，，，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，，，，微软MAPP妄想焦点成员，，，，，，“黑雀攻击”看法首推者。。。。阻止现在，，，，，，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差6500余个，，，，，，一连坚持国际网络清静领域一流水准。。。。实验室研究偏向涵盖基础清静研究、数据清静研究、5G清静研究、AI+清静研究、卫星清静研究、运营商基础设施清静研究、移动清静研究、物联网清静研究、车联网清静研究、工控清静研究、信创清静研究、云清静研究、无线清静研究、高级威胁研究、攻防对抗手艺研究。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 918博天堂版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】