官网:http://securitytech.cc/
CVE-2025–66516 & CVE-2025–54988:利用恶意 PDF 攻破 Apache Tika
今天,我们将讨论一个近期的 Apache Tika 漏洞:由于使用了存在漏洞的 tika-core 依赖,导致了 XML 外部实体(XXE)漏洞。
该漏洞可被攻击者利用来读取服务器端文件,甚至可能泄露操作系统层面的敏感数据。
(点击或回车查看大图)
在开始之前,我们先解释一下 Apache Tika 是什么、它的用途,以及某些存在漏洞的依赖版本是如何导致 Tika 在解析上传文件时出现不安全行为的。
一、什么是 Apache Tika?
- Apache Tika 是一个基于 Java 的库,用于 检测和提取各种文件类型的内容。
- 它可以解析 PDF、Word 文档、Excel 文件、图片、HTML、XML 等。
(点击或回车查看大图)
- Tika 被广泛应用于需要进行 文本提取、索引和内容分析 的系统中,例如 搜索引擎、文档管理系统 等。
(点击或回车查看大图)
二、漏洞成因说明
- Apache Tika 在解析上传文件时,会使用其内部库(如 tika-core)。
- 如果应用运行的是 旧版本或存在漏洞的 tika-core(≤ 2.8.0)
-
- 那么在解析文件时就可能出现 不安全行为
-
- 从而使应用暴露于攻击风险之中
接下来我们将通过一个实际实验环境,演示 Apache Tika 如何处理上传文件,以及漏洞版本如何在解析过程中被利用来读取服务器端数据。
三、实验环境准备
在启动存在漏洞的 Apache Tika 应用之前,需要在本地系统中安装以下依赖。
i)安装 Java
- 必须安装 Java
