Se ha descubierto una falla de seguridad crítica en Apache Tika que podría resultar en una entidad externa XML ( XXE ) ataque por inyección.
La vulnerabilidad, rastreada como CVE-2025-66516 , tiene una calificación de 10,0 en la escala de puntuación del CVSS, lo que indica la máxima gravedad.
«Critical XXE en los módulos Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) de todas las plataformas permite a un atacante realizar la inyección de entidades externas XML a través de un archivo XFA creado dentro de un PDF», según un consultivo por la vulnerabilidad.
Afecta a los siguientes paquetes de Maven -
- org.apache.tika:tika-core >= 1.13, <= 3.2.1 (Parcheado en la versión 3.2.2)
- org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (Parcheado en la versión 3.2.2)
- org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (Parcheado en la versión 2.0.0)
Inyección XXE hace referencia a una vulnerabilidad de seguridad web que permite a un atacante interferir en el procesamiento de datos XML por parte de una aplicación. Esto, a su vez, permite acceder a los archivos del sistema de archivos del servidor de aplicaciones y, en algunos casos, incluso ejecutar código de forma remota.
Se considera que el CVE-2025-66516 es el mismo que CVE-2025-54988 (puntuación CVSS: 8.4), otra falla XXE en el marco de detección y análisis de contenido que los responsables del proyecto corrigieron en agosto de 2025. Según el equipo de Apache Tika, el nuevo CVE amplía el alcance de los paquetes afectados de dos maneras.
«En primer lugar, si bien el punto de entrada de la vulnerabilidad era el módulo tika-parser-pdf, como se informó en el CVE-2025-54988, la vulnerabilidad y su solución estaban en tika-core», dijo el equipo. «Los usuarios que actualizaran el módulo tika-parser-pdf pero no actualizaran tika-core a >= 3.2.2 seguirían siendo vulnerables».
«En segundo lugar, el informe original no mencionaba que en las versiones 1.x de Tika, el PDFParser estaba en el módulo «org.apache.tika:tika-parsers».»
En vista de la gravedad de la vulnerabilidad, se recomienda a los usuarios que apliquen las actualizaciones lo antes posible para mitigar las posibles amenazas.