Vulnerabilità critica in Apache Tika con Severity 10! rischio di attacco XXE

E’ stata pubblicata una vulnerabilità critica in Apache Tika, che potrebbe consentire un attacco di iniezione di entità esterne XML, noto come XXE. La falla di sicurezza, catalogata come CVE-2025-66516, presenta un punteggio pari a 10,0 secondo la scala CVSS, indice di massima gravità.

Si ritiene che CVE-2025-66516 sia identica al CVE-2025-54988 (punteggio CVSS: 8,4), un’altra falla XXE nel framework di rilevamento e analisi dei contenuti, corretta dai responsabili del progetto nell’agosto 2025. Il nuovo CVE, ha affermato il team di Apache Tika, amplia la portata dei pacchetti interessati in due modi.

La falla critica è presente nei moduli Apache Tika, precisamente in tika-core (dalla versione 1.13 alla 3.2.1), tika-pdf-module (dalle versioni 2.0.0 alla 3.2.1) e tika-parsers (dalla 1.13 alla 1.28.5), su tutte le piattaforme, permette ad un aggressore di effettuare iniezioni di entità esterne XML attraverso un file XFA contraffatto incluso in un PDF.

Riguarda i seguenti pacchetti Maven:

• org.apache.tika:tika-core >= 1.13,
• org.apache.tika:tika-parser-pdf-module >= 2.0.0,
• org.apache.tika:tika-parsers >= 1.13,

“Innanzitutto, sebbene il punto di ingresso della vulnerabilità fosse il modulo tika-parser-pdf, come riportato in CVE-2025-54988, la vulnerabilità e la sua correzione si trovavano in tika-core”, ha affermato il team. “Gli utenti che hanno aggiornato il modulo tika-parser-pdf ma non hanno aggiornato tika-core alla versione >= 3.2.2 sarebbero comunque vulnerabili”.

Alla luce della criticità della vulnerabilità, si consiglia agli utenti di applicare gli aggiornamenti il prima possibile per mitigare le potenziali minacce.

L'articolo Vulnerabilità critica in Apache Tika con Severity 10! rischio di attacco XXE proviene da Red Hot Cyber.

ZSPACE

https://www.cve.org/CVERecord?id=CVE-2025-14106

https://www.cve.org/CVERecord?id=CVE-2025-14107

TOZED

https://www.cve.org/CVERecord?id=CVE-2025-14105

cc: @Dio9sys @da_667

#internetOfShit

ZSPACE

https://www.cve.org/CVERecord?id=CVE-2025-14106

https://www.cve.org/CVERecord?id=CVE-2025-14107

TOZED

https://www.cve.org/CVERecord?id=CVE-2025-14105

cc: @Dio9sys @da_667

#internetOfShit

ZSPACE

https://www.cve.org/CVERecord?id=CVE-2025-14106

https://www.cve.org/CVERecord?id=CVE-2025-14107

TOZED

https://www.cve.org/CVERecord?id=CVE-2025-14105

cc: @Dio9sys @da_667

#internetOfShit

Apache HTTP Server 2.4.66 was released yesterday, patching these sev:LOW and sev:MED vulns:

https://www.cve.org/CVERecord?id=CVE-2025-58098

https://www.cve.org/CVERecord?id=CVE-2025-59775

https://www.cve.org/CVERecord?id=CVE-2025-65082

https://www.cve.org/CVERecord?id=CVE-2025-66200

https://www.cve.org/CVERecord?id=CVE-2025-55753

Apache HTTP Server 2.4.66 was released yesterday, patching these sev:LOW and sev:MED vulns:

https://www.cve.org/CVERecord?id=CVE-2025-58098

https://www.cve.org/CVERecord?id=CVE-2025-59775

https://www.cve.org/CVERecord?id=CVE-2025-65082

https://www.cve.org/CVERecord?id=CVE-2025-66200

https://www.cve.org/CVERecord?id=CVE-2025-55753

Apache HTTP Server 2.4.66 was released yesterday, patching these sev:LOW and sev:MED vulns:

https://www.cve.org/CVERecord?id=CVE-2025-58098

https://www.cve.org/CVERecord?id=CVE-2025-59775

https://www.cve.org/CVERecord?id=CVE-2025-65082

https://www.cve.org/CVERecord?id=CVE-2025-66200

https://www.cve.org/CVERecord?id=CVE-2025-55753

Apache HTTP Server 2.4.66 was released yesterday, patching these sev:LOW and sev:MED vulns:

https://www.cve.org/CVERecord?id=CVE-2025-58098

https://www.cve.org/CVERecord?id=CVE-2025-59775

https://www.cve.org/CVERecord?id=CVE-2025-65082

https://www.cve.org/CVERecord?id=CVE-2025-66200

https://www.cve.org/CVERecord?id=CVE-2025-55753