Kritisk XXE-sårbarhed i Apache Tika

Eskil Sørensen
12.09.2025 11:32
Score 10,0

En ny kritisk sårbarhed er blevet afsløret i Apache Tika, som er et open source-værktøj til indholds- og metadataanalyse. 

Det skriver Security Affairs og The Hacker News.

Fejlen har id'et EUVD-2025-201189 / CVE-2025-66516 og en maksimal CVSS-score på 10.0. EPSS-scoren er indtil videre på 0,05 pct. 

Sårbarheden gør det muligt for angribere at udføre XML External Entity (XXE) injection, hvilket kan give adgang til følsomme interne ressourcer og i visse tilfælde åbne for fjernafvikling af kode.

Apache Tika anvendes bredt i systemer som søgeindekser, dokumenthåndtering, compliance-løsninger og analyseplatforme. Den aktuelle sårbarhed rammer flere centrale moduler:

  • tika-core: versioner 1.13 til 3.2.1
  • tika-parser-pdf-module: versioner 2.0.0 til 3.2.1
  • tika-parsers: versioner 1.13 til før 2.0.0

Fejlen opstår, når Tika behandler PDF-filer med indlejrede XFA-formularer. Angribere kan udnytte dette til at indlæse eksterne XML-entiteter, hvilket potentielt giver adgang til lokale filer eller netværksressourcer.

Tidligere i år blev en lignende sårbarhed, EUVD-2025-25435 / CVE-2025-54988, indrapporteret med en CVSS-score på 8.4 / EPSS 0,01 pct. Den nye sårbarhed udvider dog omfanget betydeligt, ifølge Security Affairs. Mens den oprindelige fejl blev knyttet til PDF-parsermodulet, viser det sig nu, at den egentlige årsag ligger i tika-core. Brugere, der kun har opdateret PDF-modulet, men ikke tika-core til version 3.2.2 eller nyere, er stadig sårbare. Desuden blev det først nu klart, at ældre Tika 1.x-versioner har PDFParser indlejret i tika-parsers, hvilket øger antallet af berørte installationer.

I miljøer, hvor Tika indgår i automatiserede dokumentbehandlingskæder, kan et enkelt ondsindet dokument være nok til at kompromittere hele infrastrukturen.

Alle brugere opfordres til at opdatere

  • tika-core til version 3.2.2 eller nyere.
  • tika-parser-pdf-module til version 3.2.2 eller nyere.
  • tika-parsers til version 2.0.0 eller nyere.

Manglende opdatering kan efterlade systemer åbne for alvorlige angreb, især i miljøer med høj grad af automatisering og adgang til interne ressourcer.
 

Læs mere

Sårbarhed