Apache Tika Core/Tika Parsers/Tika PDF Parser Module XFA File Parser XML External Entity
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Apache Tika Core, Tika Parsers and Tika PDF Parser Module gefunden. Dabei betrifft es einen unbekannter Codeteil der Komponente XFA File Parser. Die Manipulation führt zu XML External Entity. Diese Sicherheitslücke ist unter CVE-2025-66516 bekannt. Der Angriff kann über das Netzwerk passieren. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine kritische Schwachstelle wurde in Apache Tika Core, Tika Parsers sowie Tika PDF Parser Module - die betroffene Version ist nicht genau spezifiziert - entdeckt. Es geht hierbei um ein unbekannter Codeblock der Komponente XFA File Parser. Durch Manipulation mit einer unbekannten Eingabe kann eine XML External Entity-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-611. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Critical XXE in Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) and tika-parsers (1.13-1.28.5) modules on all platforms allows an attacker to carry out XML External Entity injection via a crafted XFA file inside of a PDF.
This CVE covers the same vulnerability as in CVE-2025-54988. However, this CVE expands the scope of affected packages in two ways.
First, while the entrypoint for the vulnerability was the tika-parser-pdf-module as reported in CVE-2025-54988, the vulnerability and its fix were in tika-core. Users who upgraded the tika-parser-pdf-module but did not upgrade tika-core to >= 3.2.2 would still be vulnerable.
Second, the original report failed to mention that in the 1.x Tika releases, the PDFParser was in the "org.apache.tika:tika-parsers" module.Das Advisory kann von lists.apache.org heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 04.12.2025 als CVE-2025-66516 statt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 27.01.2026).
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 277526 (Linux Distros Unpatched Vulnerability : CVE-2025-66516) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (277526), EUVD (EUVD-2025-201189) und CERT Bund (WID-SEC-2025-1883) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Betroffen
- Debian Linux
- Red Hat Enterprise Linux
- IBM SPSS
- HCL Domino
- Apache Tika
- Open Source Elasticsearch
- Atlassian Bamboo
- Adobe ColdFusion
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.4
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔒
CNA Base Score: 8.4
CNA Vector (apache): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: XML External EntityCWE: CWE-611 / CWE-610
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 277526
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2025-66516
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Timeline
04.12.2025 Advisory veröffentlicht04.12.2025 CVE zugewiesen
04.12.2025 VulDB Eintrag erstellt
27.01.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: apache.orgAdvisory: lists.apache.org
Status: Bestätigt
CVE: CVE-2025-66516 (🔒)
GCVE (CVE): GCVE-0-2025-66516
GCVE (VulDB): GCVE-100-334316
EUVD: 🔒
CERT Bund: WID-SEC-2025-1883 - Apache Tika: Schwachstelle ermöglicht Infogewinn oder Manipulation
Eintrag
Erstellt: 04.12.2025 17:39Aktualisierung: 27.01.2026 11:49
Anpassungen: 04.12.2025 17:39 (65), 04.12.2025 19:40 (1), 06.12.2025 12:38 (2), 10.12.2025 10:40 (5), 18.12.2025 16:16 (11), 30.12.2025 18:59 (9), 27.01.2026 11:49 (7)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Instead, I see that the correct reference is "apache:tika".
Could you please verify? It seems that the CPEs you have listed are not aligned with the official ones.
Do you need the next level of professionalism?
Upgrade your account now!