CVE-2025-66516

plus petit que 1 minute de lecture

Mis à jour : December 07, 2025

Injection XXE dans Apache Tika

Une vulnérabilité (CVE-2025-66516) a été identifiée dans plusieurs composants d’Apache Tika, notamment tika-core, tika-pdf-module et tika-parsers, pour diverses versions. Elle concerne une faille d’injection d’entité externe XML (XXE) exploitable via un fichier XFA spécialement conçu, intégré dans un document PDF.

Points Clés :

Nature de la vulnérabilité : Injection XXE.
Composants affectés : tika-core, tika-pdf-module, tika-parsers.
Versions concernées :
- tika-core : 1.13 à 3.2.1
- tika-pdf-module : 2.0.0 à 3.2.1
- tika-parsers : 1.13 à 1.28.5
Mécanisme d’exploitation : Traitement d’un fichier PDF contenant un composant XFA malveillant par Apache Tika.

Vulnérabilités :

CVE-2025-66516 : Injection XXE (XML External Entity).

Impact Potentiel :

Accès aux fichiers locaux.
Accès aux ressources du réseau interne.
Vol d’autres données sensibles sur le serveur où Tika est exécuté.

Recommandations :

Mettre à jour le composant tika-core vers la version 3.2.2 ou une version ultérieure.
Assurer la mise à jour cohérente de tous les composants Tika associés.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-66516

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast