Critical XXE Bug CVE-2025-66516 (CVSS 10.0) Hits Apache Tika, Requires Urgent Patch

plus petit que 1 minute de lecture

Mis à jour : December 05, 2025

Vulnérabilité Critique dans Apache Tika

Une faille de sécurité majeure, identifiée comme CVE-2025-66516 et notée 10.0 sur l’échelle CVSS, a été découverte dans Apache Tika. Cette vulnérabilité permet des attaques par injection d’entité externe XML (XXE).

Points Clés :

La faille concerne l’injection XXE via un fichier XFA spécialement conçu, inclus dans un document PDF.
Elle touche plusieurs modules Apache Tika, notamment tika-core, tika-pdf-module et tika-parsers.
Cette nouvelle vulnérabilité est une extension de CVE-2025-54988, en élargissant les packages affectés et en clarifiant que la correction se situait dans tika-core, même si le point d’entrée initial était le tika-parser-pdf-module. De plus, les versions antérieures (1.x) du module tika-parsers étaient également concernées.

Vulnérabilités :

CVE-2025-66516 (CVSS 10.0) : Injection d’entité externe XML (XXE).

Recommandations :

Il est impératif d’appliquer les mises à jour dès que possible pour atténuer les risques. Les versions corrigées sont :

org.apache.tika:tika-core : version 3.2.2 et supérieure.
org.apache.tika:tika-parser-pdf-module : version 3.2.2 et supérieure.
org.apache.tika:tika-parsers : version 2.0.0 et supérieure.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Critical XXE Bug CVE-2025-66516 (CVSS 10.0) Hits Apache Tika, Requires Urgent Patch

Vulnérabilité Critique dans Apache Tika

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast