Tìm kiếm

Lỗi XXE nghiêm trọng CVE-2025-66516 (CVSS 10.0) ảnh hưởng đến Apache Tika

Lỗi XXE nghiêm trọng CVE-2025-66516 (CVSS 10.0) ảnh hưởng đến Apache Tika

Tác giả T-X, T.M.Hai 06, 2025, 09:00:05 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 4 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.M.Hai 06, 2025, 09:00:05 CHIỀU
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Apache Tika có thể dẫn đến cuộc tấn công chèn thực thể bên ngoài XML ( XXE ).

Lỗ hổng bảo mật được theo dõi là CVE-2025-66516, được đánh giá 10,0 trên thang điểm CVSS, cho thấy mức độ nghiêm trọng tối đa.


Theo khuyến cáo về lỗ hổng bảo mật, "XXE nghiêm trọng trong các mô-đun Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) và tika-parsers (1.13-1.28.5) trên mọi nền tảng cho phép kẻ tấn công thực hiện tấn công chèn Thực thể bên ngoài XML thông qua tệp XFA được tạo bên trong PDF ".

Nó ảnh hưởng đến các gói Maven sau đây:

    org.apache.tika:tika-core >= 1.13, <= 3.2.1 (Đã vá trong phiên bản 3.2.2)
    org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (Đã vá trong phiên bản 3.2.2)
    org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (Đã vá trong phiên bản 2.0.0)

XXE injection là một lỗ hổng bảo mật web cho phép kẻ tấn công can thiệp vào quá trình xử lý dữ liệu XML của ứng dụng. Điều này cho phép kẻ tấn công truy cập các tệp trên hệ thống tệp của máy chủ ứng dụng và, trong một số trường hợp, thậm chí có thể thực thi mã từ xa.

CVE-2025-66516 được đánh giá là giống với CVE-2025-54988 (điểm CVSS: 8,4), một lỗ hổng XXE khác trong khuôn khổ phát hiện và phân tích nội dung đã được nhóm bảo trì dự án vá vào tháng 8 năm 2025. Nhóm Apache Tika cho biết CVE mới mở rộng phạm vi các gói bị ảnh hưởng theo hai cách.

"Đầu tiên, mặc dù điểm vào của lỗ hổng là tika-parser-pdf-module như đã báo cáo trong CVE-2025-54988, nhưng lỗ hổng và bản sửa lỗi lại nằm trong tika-core", nhóm nghiên cứu cho biết. "Người dùng đã nâng cấp tika-parser-pdf-module nhưng không nâng cấp tika-core lên >= 3.2.2 vẫn sẽ bị ảnh hưởng."

"Thứ hai, báo cáo ban đầu không đề cập đến việc trong bản phát hành Tika 1.x, PDFParser nằm trong mô-đun "org.apache.tika:tika-parsers"."

Do tính nghiêm trọng của lỗ hổng bảo mật, người dùng được khuyên nên áp dụng bản cập nhật càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.
Tạo trang in
Lên đầu trang Trang1
User actions

Lỗi XXE nghiêm trọng CVE-2025-66516 (CVSS 10.0) ảnh hưởng đến Apache Tika