廣泛使用的Apache Tika XML文檔提取工具被發(fā)現(xiàn)存在安全漏洞，其影響范圍和嚴(yán)重程度都超出最初評估，項目維護者發(fā)出了新的安全警告。

新發(fā)布的安全警報涉及兩個相互關(guān)聯(lián)的漏洞，第一個是去年8月公開的CVE-2025-54988，嚴(yán)重程度評級為8.4，第二個是上周公布的CVE-2025-66516，評級達(dá)到最高的10。

CVE-2025-54988是Apache Tika從1.13版本到3.2.1版本（含）的tika-parser-pdf-module模塊中的一個安全弱點，該模塊用于處理PDF文檔。Tika是一個更廣泛生態(tài)系統(tǒng)中的模塊，用于將1000多種專有格式的數(shù)據(jù)標(biāo)準(zhǔn)化，以便軟件工具能夠索引和讀取它們。

遺憾的是，這種文檔處理能力使得該軟件成為XML外部實體注入攻擊的主要目標(biāo)，這是此類工具反復(fù)出現(xiàn)的安全問題。

在CVE-2025-54988的情況下，攻擊者可能通過在惡意PDF中隱藏XML表單架構(gòu)指令來執(zhí)行外部實體注入攻擊。通過這種方式，"攻擊者可能能夠讀取敏感數(shù)據(jù)或觸發(fā)對內(nèi)部資源或第三方服務(wù)器的惡意請求"。攻擊者可以利用該漏洞從工具的文檔處理管道中檢索數(shù)據(jù)，通過Tika處理惡意PDF來竊取數(shù)據(jù)。

維護者現(xiàn)在意識到，XXE注入漏洞不僅限于這個模塊。它還影響其他Tika組件，即Apache Tika的tika-core（1.13到3.2.1版本）和tika-parsers（1.13到1.28.5版本）。此外，遺留的Tika解析器（1.13到1.28.5版本）也受到影響。

不尋常且令人困惑的是，現(xiàn)在同一個問題有兩個CVE編號，第二個CVE-2025-66516是第一個的超集。發(fā)布第二個CVE的原因可能是為了提醒已經(jīng)修補CVE-2025-54988的用戶，由于CVE-2025-66516中列出的其他易受攻擊組件，他們?nèi)匀幻媾R風(fēng)險。

到目前為止，還沒有證據(jù)表明這些CVE中的XXE注入弱點正在被野外攻擊者利用。然而，風(fēng)險在于，一旦漏洞被逆向工程或概念驗證出現(xiàn)，這種情況可能很快改變。

CVE-2025-66516的嚴(yán)重程度評級為罕見的最高分10.0，這使得對于在其環(huán)境中使用此軟件的任何人來說，修補它都是優(yōu)先事項。用戶應(yīng)該更新到Tika-core 3.2.2版本、tika-parser-pdf-module 3.2.2版本（獨立PDF模塊），或者如果使用遺留版本則更新到tika-parsers 2.0.0版本。

然而，修補只能幫助照看已知使用Apache Tika應(yīng)用程序的開發(fā)者。危險在于，其使用可能未在所有應(yīng)用程序配置文件中列出，從而產(chǎn)生盲點，導(dǎo)致其使用未被發(fā)現(xiàn)。對抗這種不確定性的唯一緩解措施是開發(fā)者通過tika-config.xml配置文件在其應(yīng)用程序中關(guān)閉XML解析功能。

Q&A

Q1：Apache Tika是什么軟件？主要用途是什么？

A：Apache Tika是一個XML文檔提取工具，用于將1000多種專有格式的數(shù)據(jù)標(biāo)準(zhǔn)化，使軟件工具能夠索引和讀取這些文檔。它是一個廣泛使用的文檔處理工具。

Q2：CVE-2025-66516漏洞有多嚴(yán)重？

A：CVE-2025-66516的嚴(yán)重程度評級為罕見的最高分10.0，攻擊者可能通過惡意PDF執(zhí)行外部實體注入攻擊，讀取敏感數(shù)據(jù)或觸發(fā)對內(nèi)部資源的惡意請求。

Q3：如何修復(fù)Apache Tika的安全漏洞？

A：用戶應(yīng)該更新到Tika-core 3.2.2版本、tika-parser-pdf-module 3.2.2版本，或遺留版本更新到tika-parsers 2.0.0版本。也可以通過tika-config.xml配置文件關(guān)閉XML解析功能作為緩解措施。