CVE-2025-66516
Mis à jour :
Exploitation d’une faille XXE dans Apache Tika via des documents PDF
Une vulnérabilité critique, identifiée sous la référence CVE-2025-66516, affecte plusieurs composantes d’Apache Tika : tika-core, tika-pdf-module et tika-parsers. Cette faille de type Injection d’Entité Externe XML (XXE) peut être déclenchée par l’exploitation d’un fichier XFA spécialement conçu, intégré dans un document PDF.
L’exploitation réussie de cette vulnérabilité permettrait à un attaquant d’altérer le traitement des données XML par l’application. Plus préoccupant encore, elle pourrait autoriser l’accès à des fichiers locaux, à des ressources du réseau interne ou à d’autres informations sensibles hébergées sur le serveur exécutant Apache Tika.
Points Clés :
- Nature de la faille : Injection d’Entité Externe XML (XXE).
- Vecteur d’attaque : Fichier XFA malveillant incorporé dans un document PDF.
- Composants affectés : Apache Tika (tika-core, tika-pdf-module, tika-parsers).
- Versions vulnérables :
- tika-core: 1.13 à 3.2.1
- tika-pdf-module: 2.0.0 à 3.2.1
- tika-parsers: 1.13 à 1.28.5
- Impact potentiel : Accès à des fichiers locaux, des ressources réseau internes, et des données sensibles.
Recommandation :
La mitigation de cette vulnérabilité passe impérativement par la mise à jour de la bibliothèque tika-core vers la version 3.2.2 ou une version ultérieure. Il est également crucial de veiller à ce que tous les autres composants Tika associés soient mis à jour de manière cohérente.