CVE-2025-54988

Nome do Software Vulnerável e Versões Afetadas Apache Tika versões 1.13 até 3.2.1 Apache Tika tika-core versões 1.13 até 3.2.1 Apache Tika tika-pdf-module versões 2.0.0 até 3.2.1 Apache Tika tika-parsers versões 1.13 até 1.28.5

Descrição Existe uma vulnerabilidade crítica de Entidade Externa XML (XXE) no Apache Tika, especificamente dentro dos componentes tika-parser-pdf-module, tika-core e tika-parsers. Esta falha permite que um atacante injete código XML malicioso por meio de um arquivo XFA manipulado incorporado em um documento PDF. A exploração bem-sucedida poderia permitir que um atacante lesse dados sensíveis ou iniciasse requisições não autorizadas para recursos internos ou servidores externos. A causa raiz da vulnerabilidade está no componente PDFParser, inicialmente relatado no tika-parser-pdf-module, mas finalmente corrigido no tika-core. A vulnerabilidade afeta versões 1.x onde o PDFParser está localizado no módulo org.apache.tika:tika-parsers.

Recomendações Atualize para a versão 3.2.2 ou posterior do Apache Tika. Atualize o tika-core para a versão 3.2.2 ou posterior. Atualize o tika-pdf-module para a versão 3.2.2 ou posterior. Atualize o tika-parsers para a versão 1.28.5 ou posterior.