CVE-2025-66516

plus petit que 1 minute de lecture

Mis à jour : December 09, 2025

Injection XXE dans Apache Tika

Une vulnérabilité (CVE-2025-66516) affectant plusieurs composants d’Apache Tika, notamment tika-core, tika-pdf-module et tika-parsers, permet une injection XML External Entity (XXE). Elle peut être exploitée via un fichier XFA spécialement conçu, intégré dans un document PDF.

Points clés :

Type de vulnérabilité : XML External Entity (XXE) injection.
Composants affectés : tika-core, tika-pdf-module, tika-parsers.
Versions affectées : tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1), tika-parsers (1.13-1.28.5).
Méthode d’exploitation : Traitement d’un fichier PDF contenant un composant XFA malveillant par Apache Tika.

Conséquences possibles :

Un attaquant peut accéder à des fichiers locaux, des ressources du réseau interne ou d’autres données sensibles sur le serveur où s’exécute Tika.

Recommandations :

Mettre à jour tika-core vers la version 3.2.2 ou une version ultérieure. Assurer la mise à jour cohérente de tous les composants Tika associés.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-66516

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast