文章总结： ApacheTika存在XXE漏洞CVE-2025-66516，高危级别，影响版本1.13至3.2.1。攻击者可通过恶意PDF文件触发XXE攻击，导致敏感信息泄露、拒绝服务或内网端口扫描。POC已公开，建议立即升级至官方修复版本。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,WEB安全

漏洞预警 | Apache Tika XXE漏洞

浅安

浅安安全

2025年12月16日 08:02 广东

0x00 漏洞编号

• CVE-2025-66516

0x01 危险等级

• 高危

0x02 漏洞概述

Apache Tika是一个由Apache软件基金会维护的开源内容检测与分析工具包，它能够从超过一千种不同的文件格式中提取元数据和结构化文本内容。

0x03 漏洞详情

#

CVE-2025-66516

漏洞类型：XXE

影响：获取敏感信息

简述：Apache Tika存在XML外部实体注入漏洞，由于其在处理PDF文件中的XFA内容时，未对外部实体进行充分限制，导致攻击者可以通过构造恶意的XML文件触发XXE攻击，进而导致服务器上的敏感信息泄露、执行拒绝服务攻击，甚至在内网环境中进行端口扫描。

0x04 影响版本

• 1.13 <= Apache Tika core (org.apache.tika:tika-core) <= 3.2.1
• 1.13 <= Apache Tika parsers (org.apache.tika:tika-parsers) < 2.0.0
• 2.0.0 <= Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) <= 3.2.1

0x05POC状态

• 已公开

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://tika.apache.org/

查看原文：《漏洞预警 | Apache Tika XXE漏洞》