CVE-2025-66516
Mis à jour :
Injection XXE dans Apache Tika
Une faille de sécurité critique, identifiée comme CVE-2025-66516, affecte plusieurs composants d’Apache Tika, notamment tika-core, tika-pdf-module et tika-parsers, dans une gamme étendue de versions. Cette vulnérabilité est due à une injection d’entité externe XML (XXE).
L’exploitation de cette faille repose sur un fichier XFA spécialement conçu, intégré dans un document PDF. Lorsqu’Apache Tika traite un tel PDF, un attaquant peut potentiellement accéder à des fichiers locaux, des ressources réseau internes ou d’autres informations sensibles résidant sur le serveur où Tika est exécuté.
Pour remédier à ce risque, il est impératif de mettre à jour le composant tika-core vers la version 3.2.2 ou une version ultérieure. Il est également conseillé de s’assurer que tous les autres composants Tika associés sont mis à jour de manière cohérente.
Points Clés :
- Vulnérabilité : CVE-2025-66516
- Type : Injection d’entité externe XML (XXE)
- Produit affecté : Apache Tika (tika-core, tika-pdf-module, tika-parsers)
- Versions affectées : tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1), tika-parsers (1.13-1.28.5)
Vulnérabilités :
- CVE-2025-66516 : Permet à un attaquant d’accéder à des fichiers locaux, des ressources réseau internes ou des données sensibles via un fichier XFA malveillant dans un PDF.
Recommandations :
- Mettre à jour tika-core vers la version 3.2.2 ou une version ultérieure.
- Assurer la mise à jour cohérente de tous les composants Tika liés.