CVE-2025-54988
Mis à jour :
Vulnérabilité Critique dans Apache Tika : Analyse de CVE-2025-54988
Une faille de sécurité majeure, identifiée sous la référence CVE-2025-54988, a été découverte dans le module d’analyse de fichiers PDF d’Apache Tika. Cette vulnérabilité de type XML External Entity (XXE) impacte les versions 1.13 à 3.2.1 du logiciel.
Points clés :
- Nature de la faille : XML External Entity (XXE).
- Composant affecté : Module d’analyse de fichiers PDF (tika-parser-pdf-module) dans Apache Tika.
- Versions concernées : 1.13 à 3.2.1.
Vulnérabilité :
- CVE : CVE-2025-54988
- Détails : Le module PDFParser d’Apache Tika traite de manière non sécurisée le contenu XML Forms Architecture (XFA) intégré dans les documents PDF. Un attaquant peut exploiter cette faiblesse en créant un document PDF malveillant contenant un fichier XFA spécialement conçu.
Impact potentiel :
L’exploitation permet des attaques par injection XML External Entity, offrant à un attaquant la possibilité de :
- Lire des fichiers sensibles présents sur le système cible.
- Accéder à des ressources internes au réseau.
- Déclencher des requêtes vers des serveurs externes.
Cette vulnérabilité affecte plusieurs paquets Tika, notamment : tika-parsers-standard-modules, tika-parsers-standard-package, tika-app, tika-grpc et tika-server-standard.
Recommandations :
Il est fortement conseillé aux utilisateurs de mettre à jour Apache Tika vers la version 3.2.2, qui corrige ce problème de sécurité.