Cerrar menú
Identidad

Error crítico XXE CVE-2025-66516 (CVSS 10.0) en Apache Tika, se requiere parche urgente

corp@blsindustriaytecnologia.comBy No hay comentarios2 minutos de lectura

5 de diciembre de 2025Ravi LakshmananSeguridad/vulnerabilidades de la aplicación

Se ha revelado una falla de seguridad crítica en Apache Tika que podría provocar un ataque de inyección de entidad externa XML (XXE).

Esta vulnerabilidad se rastrea como CVE-2025-66516 y tiene una calificación de 10,0 en la escala de puntuación CVSS, lo que indica la gravedad máxima.

Según el aviso de vulnerabilidad, «Un XXE crítico en los módulos Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) en todas las plataformas permite a un atacante crear entidades externas XML a través de un archivo XFA diseñado en un PDF. Se puede realizar una inyección.

seguridad cibernética

Afecta a los siguientes paquetes Maven:

org.apache.tika:tika-core >= 1.13,<= 3.2.1 (バージョン 3.2.2 でパッチ適用) org.apache.tika:tika-parser-pdf-module >= 2.0.0,<= 3.2.1 (バージョン 3.2.2 でパッチ適用) org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (parcheado en la versión 2.0.0)

La inyección XXE se refiere a una vulnerabilidad de seguridad web que permite a un atacante evitar que una aplicación procese datos XML. Esto permite el acceso a archivos en el sistema de archivos del servidor de aplicaciones y, en algunos casos, permite la ejecución remota de código.

CVE-2025-66516 tiene la misma calificación que CVE-2025-54988 (puntuación CVSS: 8,4), otra falla XXE en el marco de análisis y descubrimiento de contenido que fue parcheada por los administradores del proyecto en agosto de 2025. Según el equipo de Apache Tika, el nuevo CVE amplía el alcance de los paquetes afectados de dos maneras.

«Primero, el punto de entrada para esta vulnerabilidad fue el módulo tika-parser-pdf informado en CVE-2025-54988, pero la vulnerabilidad y su solución estaban en tika-core», dijo el equipo. «Los usuarios que actualizaron tika-parser-pdf-module pero no actualizaron tika-core a 3.2.2 o superior siguen siendo vulnerables».

«En segundo lugar, el informe original no menciona que PDFParser estaba incluido en el módulo «org.apache.tika:tika-parsers» en la versión 1.x de Tika».

Dada la importancia de la vulnerabilidad, recomendamos aplicar actualizaciones lo antes posible para mitigar posibles amenazas.


Source link

Share.

Related Posts

Add A Comment
Leave A Reply