CVE-2025-66516

Nome do Software Vulnerável e Versões Afetadas tika-core versões 1.13 até 3.2.1 tika-parser-pdf-module versões 2.0.0 até 3.2.1 tika-parsers versões 1.13 até 1.28.5

Description O Apache Tika processa incorretamente entidades XML externas ao analisar conteúdo XFA (XML Forms Architecture) incorporado em arquivos PDF. Isso permite que um invasor remoto realize a injeção de Entidade Externa XML (XXE) por meio de um arquivo XFA manipulado dentro de um PDF. O problema decorre da falha do analisador XML no tika-core em restringir referências XML externas. A exploração bem-sucedida pode levar à divulgação de arquivos locais, Server-Side Request Forgery (SSRF), Negação de Serviço (DoS) ou execução remota de código em certas cadeias de exploração. A falha afeta implementações incorporadas do Tika que utilizam o analisador JDK StAX padrão. Aproximadamente 200 hosts no segmento RuNet foram identificados utilizando o Apache Tika, com cerca de 95% estimados como vulneráveis.

Recommendations Atualize o tika-core, tika-parser-pdf-module e tika-parsers para a versão 3.2.2. Como medida paliativa temporária, desative ou restrinja o processamento de arquivos XFA-PDF. Isole os processos do Tika utilizando um sandbox, restrinja as permissões de acesso ao sistema de arquivos e proíba requisições de rede externas.