Tecnología

EDR NEWS te informa: Critical XXE Bug CVE-2025-66516 (CVSS 10.0) Hits Apache Tika, Requires Urgent Patch

Publicado en por edradmin
EDR NEWS te informa: Critical XXE Bug CVE-2025-66516 (CVSS 10.0) Hits Apache Tika, Requires Urgent Patch
07
Dic

05 de diciembre de 2025Ravie LakshmananSeguridad/vulnerabilidad de aplicaciones

Se ha revelado una falla de seguridad crítica en Apache Tika que podría resultar en una entidad externa XML (XXE) ataque de inyección.

La vulnerabilidad, rastreada como CVE-2025-66516tiene una calificación de 10,0 en la escala de puntuación CVSS, lo que indica gravedad máxima.

«El XXE crítico en los módulos Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) en todas las plataformas permite a un atacante llevar a cabo una inyección de entidad externa XML a través de un archivo XFA diseñado dentro de un PDF», según un consultivo por la vulnerabilidad.

Ciberseguridad

Afecta a los siguientes paquetes de Maven:

  • org.apache.tika:tika-core >= 1.13, <= 3.2.1 (Parcheado en la versión 3.2.2)
  • org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (Parcheado en la versión 3.2.2)
  • org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (parcheado en la versión 2.0.0)

inyección XXE se refiere a una vulnerabilidad de seguridad web que permite a un atacante interferir con el procesamiento de datos XML de una aplicación. Esto, a su vez, hace posible acceder a archivos en el sistema de archivos del servidor de aplicaciones y, en algunos casos, incluso lograr la ejecución remota de código.

Se considera que CVE-2025-66516 es el mismo que CVE-2025-54988 (Puntuación CVSS: 8,4), otra falla XXE en el marco de análisis y detección de contenido que fue reparada por los mantenedores del proyecto en agosto de 2025. El nuevo CVE, dijo el equipo de Apache Tika, amplía el alcance de los paquetes afectados de dos maneras.

«En primer lugar, si bien el punto de entrada de la vulnerabilidad era el módulo tika-parser-pdf como se informa en CVE-2025-54988, la vulnerabilidad y su solución estaban en tika-core», dijo el equipo. «Los usuarios que actualizaron el módulo tika-parser-pdf pero no actualizaron tika-core a >= 3.2.2 seguirían siendo vulnerables».

«En segundo lugar, el informe original no mencionó que en las versiones 1.x de Tika, PDFParser estaba en el módulo «org.apache.tika:tika-parsers».

A la luz de la gravedad de la vulnerabilidad, se recomienda a los usuarios que apliquen las actualizaciones lo antes posible para mitigar posibles amenazas.


Fuente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *