Error crítico XXE CVE-2025-66516 (CVSS 10.0) en Apache Tika, se requiere parche urgente

5 de diciembre de 2025Ravi LakshmananSeguridad/vulnerabilidades de la aplicación

Se ha revelado una falla de seguridad crítica en Apache Tika que podría provocar un ataque de inyección de entidad externa XML (XXE).

Esta vulnerabilidad se rastrea como CVE-2025-66516 y tiene una calificación de 10,0 en la escala de puntuación CVSS, lo que indica la gravedad máxima.

Según el aviso de vulnerabilidad, «Un XXE crítico en los módulos Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) en todas las plataformas permite a un atacante crear entidades externas XML a través de un archivo XFA diseñado en un PDF. Se puede realizar una inyección.

Afecta a los siguientes paquetes Maven:

org.apache.tika:tika-core >= 1.13,<= 3.2.1 (バージョン 3.2.2 でパッチ適用) org.apache.tika:tika-parser-pdf-module >= 2.0.0,<= 3.2.1 (バージョン 3.2.2 でパッチ適用) org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (parcheado en la versión 2.0.0)

La inyección XXE se refiere a una vulnerabilidad de seguridad web que permite a un atacante evitar que una aplicación procese datos XML. Esto permite el acceso a archivos en el sistema de archivos del servidor de aplicaciones y, en algunos casos, permite la ejecución remota de código.

CVE-2025-66516 tiene la misma calificación que CVE-2025-54988 (puntuación CVSS: 8,4), otra falla XXE en el marco de análisis y descubrimiento de contenido que fue parcheada por los administradores del proyecto en agosto de 2025. Según el equipo de Apache Tika, el nuevo CVE amplía el alcance de los paquetes afectados de dos maneras.

«Primero, el punto de entrada para esta vulnerabilidad fue el módulo tika-parser-pdf informado en CVE-2025-54988, pero la vulnerabilidad y su solución estaban en tika-core», dijo el equipo. «Los usuarios que actualizaron tika-parser-pdf-module pero no actualizaron tika-core a 3.2.2 o superior siguen siendo vulnerables».

«En segundo lugar, el informe original no menciona que PDFParser estaba incluido en el módulo «org.apache.tika:tika-parsers» en la versión 1.x de Tika».

Dada la importancia de la vulnerabilidad, recomendamos aplicar actualizaciones lo antes posible para mitigar posibles amenazas.

Source link

What's Hot

OpenAI sigue trabajando en su “súper aplicación”

TechCrunch Mobility: Dentro de la apuesta de GM por baterías para vehículos eléctricos de 900 millones de dólares

Hackeos, infracciones y demandas de rescate: las peores infracciones de 2026 hasta ahora

Error crítico XXE CVE-2025-66516 (CVSS 10.0) en Apache Tika, se requiere parche urgente

El nuevo modo de bloqueo de ChatGPT limita las herramientas que permiten la fuga de datos

La aplicación gratuita convierte silenciosamente su televisor inteligente en un proxy de web scraping de IA

CISA agrega la falla DoS de SolarWinds Serv-U explotada activamente al catálogo KEV

OpenAI sigue trabajando en su “súper aplicación”

TechCrunch Mobility: Dentro de la apuesta de GM por baterías para vehículos eléctricos de 900 millones de dólares

Hackeos, infracciones y demandas de rescate: las peores infracciones de 2026 hasta ahora

OpenAI anuncia modo de bloqueo para proteger datos confidenciales de ataques de inyección rápida

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

What's Hot

Error crítico XXE CVE-2025-66516 (CVSS 10.0) en Apache Tika, se requiere parche urgente

Related Posts