支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-54988 基础信息
漏洞信息
                                        # Apache Tika PDF解析器模块:XFA XXE漏洞

## 概述

Apache Tika 的 `tika-parser-pdf-module` 存在一个关键的 XML 外部实体(XXE)漏洞,影响版本从 1.13 到 3.2.1(含)。攻击者可通过构造恶意 XFA 文件嵌入 PDF 中,触发 XXE 攻击。

## 影响版本

- Apache Tika: 1.13 至 3.2.1(包括该版本)
- 涉及组件:`tika-parser-pdf-module`
- 使用该模块的其他组件包括:
  - tika-parsers-standard-modules
  - tika-parsers-standard-package
  - tika-app
  - tika-grpc
  - tika-server-standard

## 漏洞细节

攻击者构造包含恶意 XFA 内容的 PDF 文件,在 Apache Tika 解析该文件时触发 XXE 漏洞。该漏洞允许解析器读取本地文件、发送网络请求到内部资源或外部服务器。

## 影响

- 可读取敏感文件(如 `/etc/passwd`)
- 可发起服务器端请求伪造(SSRF),访问内网资源或远程服务器
- 造成信息泄露或进一步攻击的入口

## 解决方案

建议升级至 Apache Tika 3.2.2 或更高版本,以修复此漏洞。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Critical XXE in Apache Tika (tika-parser-pdf-module) in Apache Tika 1.13 through and including 3.2.1 on all platforms allows an attacker to carry out XML External Entity injection via a crafted XFA file inside of a PDF. An attacker may be able to read sensitive data or trigger malicious requests to internal resources or third-party servers. Note that the tika-parser-pdf-module is used as a dependency in several Tika packages including at least: tika-parsers-standard-modules, tika-parsers-standard-package, tika-app, tika-grpc and tika-server-standard. Users are recommended to upgrade to version 3.2.2, which fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Tika 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Tika是美国阿帕奇(Apache)基金会的一个集成了POI(使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库)、Pdfbox(读取和创建PDF文档的纯Java类库)并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.13版本至3.2.1版本存在安全漏洞,该漏洞源于XML外部实体注入,可能导致读取敏感数据或触发恶意请求。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54988 的公开POC
#POC 描述源链接神龙链接
1A PDF generator for CVE-2025-54988https://github.com/mgthuramoemyint/POC-CVE-2025-54988POC详情
2Creating a vulnerable instance to test againsthttps://github.com/galoryber/cve-2025-54988-VulnTikaProjectPOC详情
三、漏洞 CVE-2025-54988 的情报信息

  • 标题: CVE-2025-54988: Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA-Apache Mail Archives -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ### 关键信息

- **CVE编号**: CVE-2025-54988
- **漏洞类型**: XXE (XML External Entity) 漏洞
- **受影响模块**: Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module)
- **受影响版本**: 1.13 至 3.2.1
- **严重性**: critical

#### 描述
在 Apache Tika 1.13 到 3.2.1 版本中,PDFParser 在处理 XFA 文件时存在 XXE 漏洞。攻击者可以通过特制的 XFA 文件注入 XML 外部实体,从而读取敏感数据或触发对内部资源或第三方服务器的恶意请求。

#### 推荐措施
用户应升级到 3.2.2 版本以修复此问题。

#### 发现者
Paras Jain 和 Yakov Shafranovich of Amazon

#### 参考链接
- [Apache Tika 官网](https://tika.apache.org/)
- [CVE 详情](https://www.cve.org/CVERecord?id=CVE-2025-54988)
    CVE-2025-54988: Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA-Apache Mail Archives
  • https://nvd.nist.gov/vuln/detail/CVE-2025-54988
四、漏洞 CVE-2025-54988 的评论

暂无评论

发表评论