摘要
Apache Tika(tika-parser-pdf-module)在1.13至3.2.1版本中存在严重XXE漏洞,攻击者可通过PDF中的特制XFA文件实施XML外部实体注入。攻击者可能读取敏感数据或触发对内部资源和第三方服务器的恶意请求。需要注意的是,tika-parser-pdf-module作为依赖项被多个Tika包使用,包括:tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc和tika-server-standard。建议用户升级到3.2.2版本以修复此问题。
受影响版本与解决方案
| 产品版本 | 受影响状态 | 解决方案 |
|---|---|---|
| FortiDLP 12.2 | 12.2.1至12.2.2 | 升级至12.2.3或更高版本 |
| FortiDLP 12.1 | 所有版本 | 迁移至修复版本 |
| FortiDLP 12.0 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.5 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.4 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.3 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.2 | 不受影响 | 不适用 |
| FortiDLP 10.4 | 不受影响 | 不适用 |
| FortiDLP 6.0 | 不受影响 | 不适用 |
时间线
- 2025-10-14:首次发布
参考链接
安全信息
- IR编号:FG-IR-25-771
- 发布日期:2025年10月14日
- 组件:CLI
- 严重程度:高
- CVSSv3评分:8.0
- 影响:执行未经授权的代码或命令
- CVE ID:CVE-2025-54988
下载资源
- CVRF
- CSAF
