出典: Security NEXT – https://www.security-next.com/178080
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 – コア部分も更新を
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 – コア部分も更新を
コンテンツ解析ライブラリ「Apache Tika」に深刻な脆弱性が確認された。脆弱性を修正するアップデートが提供されている。
細工したPDFに埋め込まれた「XFA」の解析処理に、XML外部実体参照(XXE)の脆弱性「CVE-2025-66516」が明らかとなったもの。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは、最高値となる「10.0」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
既知の脆弱性「CVE-2025-54988」と同一の問題に起因するという。これまでPDFの解析を行う「tika-parser-pdf-module」に起因するとされていたが、コア部分にも脆弱性が存在しており、ソフトウェア全体で対処が必要であることがわかった。
また「同1.x」の一部ブランチでは「tika-parsers」に「tika-parser-pdf-module」が含まれており影響を受けるが、その点についてもアナウンスされていなかった。
開発チームでは「PD
