Se ha descubierto una vulnerabilidad crítica de inyección XML External Entity (XXE) en Apache Tika que permite la ejecución remota de código al procesar archivos PDF maliciosos con formularios XFA especialmente diseñados. Esta falla afecta los componentes centrales de Apache Tika y numerosos sistemas operativos, permitiendo a atacantes ejecutar código arbitrario y acceder sin autorización a información confidencial.
CVE y severidad
| ID CVE | Puntaje CVSS | Severidad | Tipo de vulnerabilidad | Vector de ataque | Plataformas afectadas |
|---|---|---|---|---|---|
| CVE-2025-66516 | 9.8 (Crítica) | Crítica | Inyección XML External Entity (XXE) | Archivos XFA maliciosos incrustados en documentos PDF | Windows, Linux, macOS |
Productos afectados
| Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Apache Tika | Tika-core | 1.13 a 3.2.1 | Todos (Windows, Linux, macOS) |
| Apache Tika | Tika-parsers (módulo antiguo) | 1.13 antes de 2.0.0 | Todos (Windows, Linux, macOS) |
| Apache Tika | Módulo PDF parser (nuevo) | 2.0.0 a 3.2.1 | Todos (Windows, Linux, macOS) |
Solución
Actualizar a Apache Tika-core versión 3.2.2 o superior.
Recomendaciones
Priorizar la actualización inmediata de Tika-core para mitigar la vulnerabilidad en todas las plataformas; restringir temporalmente la carga de archivos PDF desde fuentes externas no confiables hasta completar el parcheo.