Apache Tika严重XXE漏洞分析与修复方案
摘要
Apache Tika(tika-parser-pdf-module)在1.13至3.2.1版本中存在严重XXE漏洞,攻击者可通过PDF中的特制XFA文件实施XML外部实体注入。攻击者可能读取敏感数据或触发对内部资源和第三方服务器的恶意请求。需要注意的是,tika-parser-pdf-module作为依赖项被多个Tika包使用,包括:tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc和tika-server-standard。建议用户升级到3.2.2版本以修复此问题。
受影响版本与解决方案
| 产品版本 | 受影响状态 | 解决方案 |
|---|---|---|
| FortiDLP 12.2 | 12.2.1至12.2.2 | 升级至12.2.3或更高版本 |
| FortiDLP 12.1 | 所有版本 | 迁移至修复版本 |
| FortiDLP 12.0 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.5 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.4 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.3 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.2 | 不受影响 | 不适用 |
| FortiDLP 10.4 | 不受影响 | 不适用 |
| FortiDLP 6.0 | 不受影响 | 不适用 |
时间线
- 2025-10-14:首次发布
参考链接
安全信息
- IR编号:FG-IR-25-771
- 发布日期:2025年10月14日
- 组件:CLI
- 严重程度:高
- CVSSv3评分:8.0
- 影响:执行未经授权的代码或命令
- CVE ID:CVE-2025-54988
下载资源
- CVRF
- CSAF
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号