Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA 漏洞信息(CVE-2025-54988)

一、漏洞 CVE-2025-54988 基础信息

漏洞信息

                                        # Apache Tika PDF解析器模块：XFA XXE漏洞

## 概述

Apache Tika 的 `tika-parser-pdf-module` 存在一个关键的 XML 外部实体（XXE）漏洞，影响版本从 1.13 到 3.2.1（含）。攻击者可通过构造恶意 XFA 文件嵌入 PDF 中，触发 XXE 攻击。

## 影响版本

- Apache Tika: 1.13 至 3.2.1（包括该版本）
- 涉及组件：`tika-parser-pdf-module`
- 使用该模块的其他组件包括：
  - tika-parsers-standard-modules
  - tika-parsers-standard-package
  - tika-app
  - tika-grpc
  - tika-server-standard

## 漏洞细节

攻击者构造包含恶意 XFA 内容的 PDF 文件，在 Apache Tika 解析该文件时触发 XXE 漏洞。该漏洞允许解析器读取本地文件、发送网络请求到内部资源或外部服务器。

## 影响

- 可读取敏感文件（如 `/etc/passwd`）
- 可发起服务器端请求伪造（SSRF），访问内网资源或远程服务器
- 造成信息泄露或进一步攻击的入口

## 解决方案

建议升级至 Apache Tika 3.2.2 或更高版本，以修复此漏洞。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Critical XXE in Apache Tika (tika-parser-pdf-module) in Apache Tika 1.13 through and including 3.2.1 on all platforms allows an attacker to carry out XML External Entity injection via a crafted XFA file inside of a PDF. An attacker may be able to read sensitive data or trigger malicious requests to internal resources or third-party servers. Note that the tika-parser-pdf-module is used as a dependency in several Tika packages including at least: tika-parsers-standard-modules, tika-parsers-standard-package, tika-app, tika-grpc and tika-server-standard. Users are recommended to upgrade to version 3.2.2, which fixes this issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

XML外部实体引用的不恰当限制(XXE)

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache Tika 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache Tika是美国阿帕奇（Apache）基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.13版本至3.2.1版本存在安全漏洞，该漏洞源于XML外部实体注入，可能导致读取敏感数据或触发恶意请求。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-54988 的公开POC

#	POC 描述	源链接	神龙链接
1	A PDF generator for CVE-2025-54988	https://github.com/mgthuramoemyint/POC-CVE-2025-54988	POC详情

三、漏洞 CVE-2025-54988 的情报信息

标题： CVE-2025-54988: Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA-Apache Mail Archives -- 🔗来源链接

标签： vendor-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-54988

四、漏洞 CVE-2025-54988 的评论

暂无评论

一、 漏洞 CVE-2025-54988 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-54988 的公开POC

三、漏洞 CVE-2025-54988 的情报信息

四、漏洞 CVE-2025-54988 的评论

发表评论

一、漏洞 CVE-2025-54988 基础信息