文章总结： Atlassian修复了ApacheTika中的最高严重性漏洞CVE-2025-66516，这是一个CVSS评分为10/10的XXE(XML外部实体)注入漏洞。攻击者可通过恶意XFA文件嵌入PDF文件中触发漏洞，导致敏感信息泄露。该漏洞影响ApacheTika核心模块1.13至3.2.1版本、PDF解析器模块2.0.0至3.2.1版本以及解析器模块1.13至1.28.5版本。该漏洞与CVE-2025-54988相同，但范围更广，影响更多模块。Atlassian还修复了多个其他漏洞，包括原型污染漏洞。建议用户立即升级到ApacheTika3.2.2或更高版本以修复此漏洞。 综合评分： 91 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,安全建设

Atlassian 修复了 Apache Tika 中的最高严重性漏洞 CVE-2025-66516

会杀毒的单反狗

军哥网络安全读报

2025年12月16日 09:01 湖北

导读

Atlassian 修复了数十个影响其产品的漏洞，其中包括多个严重级别漏洞。其中一个最严重的漏洞是 Apache Tika 中的一个最高级别 XML 外部实体 (XXE) 注入漏洞，漏洞编号为CVE-2025-66516（CVSS 评分为 10/10）。

CVE-2025-66516 的 CVSS 评分最高为 10.0，因为它允许攻击者在 Apache Tika 的核心模块、PDF 模块和解析器模块中触发 XXE 注入。攻击者可以将恶意 XFA 文件嵌入 PDF 文件中，诱使 Tika 处理外部 XML 实体，从而打开通往敏感内部资源的途径。

Apache Tika 是一款开源内容分析工具包，用于从几乎任何类型的文件中提取文本、元数据和结构化信息。Tika 广泛应用于搜索索引、文档摄取管道（例如 Apache Solr、Elasticsearch）、合规性工具和内容分析平台等系统中。

Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块在所有平台上存在严重 XXE 漏洞，攻击者可利用精心构造的 XFA 文件在 PDF 文件中注入 XML 外部实体。此 CVE 漏洞与 CVE-2025-54988 漏洞相同。

XXE 注入（XML 外部实体注入）是一种安全漏洞，当应用程序不安全地解析 XML 输入时，攻击者可以加载外部实体，即引用文档外部文件或 URL 的特殊 XML 功能。

该漏洞影响以下版本：

• Apache Tika 核心 (org.apache.tika:tika-core) 1.13 至 3.2.1
• Apache Tika 解析器 (org.apache.tika:tika-parsers) 1.13 版本（2.0.0 版本之前）
• Apache Tika PDF 解析器模块 (org.apache.tika:tika-parser-pdf-module) 2.0.0 至 3.2.1

根据该安全公告，新的 CVE 编号描述的漏洞与 CVE-2025-54988相同 ，但澄清了该问题的范围更广。

虽然最初与 PDF 解析器模块相关，但根本漏洞及其修复程序实际上位于 tika-core 中，这意味着任何仅更新了 PDF 模块而未将 tika-core 升级到 3.2.2 或更高版本的用户仍然面临风险。

公告还指出，较早的 Tika 1.x 版本将 PDFParser 包含在 tika-parsers 模块中，这使得受影响的软件包范围超出了第一个安全公告中所述的范围。

此 CVE 涵盖的漏洞与 CVE-2025-54988 相同。但是，此 CVE 从两方面扩展了受影响软件包的范围。

首先，虽然 CVE-2025-54988 中报告的漏洞入口点是 tika-parser-pdf-module，但此 CVE 中的漏洞及其修复程序位于 tika-core 中。升级了 tika-parser-pdf-module 但未将 tika-core 升级到 3.2.2 或更高版本的用户仍然会受到此漏洞的影响。

其次，原始报告没有提到在 Tika 1.x 版本中，PDFParser 位于“org.apache.tika:tika-parsers”模块中。

Atlassian 本月解决的关键缺陷列表包括 Confluence、Jira 和 Jira Service Management 中的原型污染漏洞，以及数十个高危 DoS、XXE、SSRF、文件包含和 RCE 问题。

其中一个问题是Jira Software 数据中心和服务器中的原型污染 zrender 依赖项，跟踪编号为 CVE-2021-39227（CVSS 评分为 9.8）。

ZRender 是一个轻量级图形库，为 Apache ECharts 提供 2D 绘图功能。在 5.2.1 之前的版本中，使用 src/core/util.ts 模块中的 merge 和 clone 辅助方法会导致原型污染。这会影响流行的数据可视化库 Apache ECharts，因为它直接使用并导出了这两个方法。

GitHub 安全公告页面提供了此漏洞的概念验证。此问题已在 ZRender 5.2.1 版本中修复。公告中写道：“一种解决方法是：检查对象键中是否存在 \_\_proto\_\_。如果存在，请在将其用作受影响方法的参数之前将其省略。或者，如果项目使用了 ECharts，则在 echarts.util.merge 和 setOption 方法中也应省略。”

供应商还修复了另一个原型污染漏洞（编号为CVE-2022-37601），该漏洞存在于 webpack loader-utils 的 parseQuery.js 文件中的 parseQuery 函数中，原因是 parseQuery.js 文件中的 name 变量存在问题。此漏洞影响 1.4.1 和 2.0.3 之前的所有版本。

本月修复的漏洞列表已在2025 年 12 月的安全公告中公布。

安全公告全文：

https://confluence.atlassian.com/security/security-bulletin-december-11-2025-1689616574.html

新闻链接：

Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《Atlassian 修复了 Apache Tika 中的最高严重性漏洞 CVE-2025-66516》