El error crítico XXE CVE-2025-66516 (CVSS 10.0) afecta a Apache Tika y requiere un parche urgente

Se ha revelado una falta de seguridad crítica en Apache Tika que podría resultar en un ataque de inyección de entidad externa XML (XXE).

La vulnerabilidad, rastreada como CVE-2025-66516tiene una calificación de 10,0 en la escalera de puntuación CVSS, lo que indica reserva máxima.

“El XXE crítico en los módulos Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) en todas las plataformas permite a un atacante tolerar a sitio una inyección de entidad externa XML a través de un archivo XFA diseñado en el interior de un PDF”, según un aviso sobre la vulnerabilidad.

Afecta a los siguientes paquetes de Maven:

• org.apache.tika:tika-core >= 1.13,
• org.apache.tika:tika-parser-pdf-module >= 2.0.0,
• org.apache.tika:tika-parsers >= 1.13,

La inyección XXE se refiere a una vulnerabilidad de seguridad web que permite a un atacante interferir con el procesamiento de datos XML de una aplicación. Esto, a su vez, hace posible lograr a archivos en el sistema de archivos del servidor de aplicaciones y, en algunos casos, incluso conquistar la ejecución remota de código.

Se considera que CVE-2025-66516 es el mismo que CVE-2025-54988 (puntuación CVSS: 8,4), otra falta XXE en el situación de investigación y detección de contenido que fue parcheada por los mantenedores del plan en agosto de 2025. El nuevo CVE, dijo el equipo de Apache Tika, amplía el gravedad de los paquetes afectados de dos maneras.

“En primer ocasión, si proporcionadamente el punto de entrada de la vulnerabilidad era el módulo tika-parser-pdf como se informa en CVE-2025-54988, la vulnerabilidad y su opción estaban en tika-core”, dijo el equipo. “Los usuarios que actualizaron el módulo tika-parser-pdf pero no actualizaron tika-core a >= 3.2.2 seguirían siendo vulnerables”.

“En segundo ocasión, el mensaje flamante no mencionó que en las versiones 1.x de Tika, PDFParser estaba en el módulo “org.apache.tika:tika-parsers”.

A la luz de la reserva de la vulnerabilidad, se recomienda a los usuarios que apliquen las actualizaciones lo antaño posible para mitigar posibles amenazas.