/
tika-core (CVE-2025-66516)

tika-core (CVE-2025-66516)

Betroffene Produkte:

  • jadice flow Komponenten:

    • worker-totiff

    • worker-imagemagick

    • worker-decompress

    • worker-pdfverifier

    • worker-msoffice

    • worker-document-content-extractor

    • worker-emaildisassembly

    • worker-xslfo

    • worker-mailbodycreator

    • worker-pdfpermissions

    • worker-analyzer

    • worker-clamav

    • worker-topdf

    • worker-anno-migrator

    • worker-htmltopdf

Herkunft:

Die CVE stammt aus der Dependency org.apache.tika:tika-core Version 2.9.4.

Auswirkung & Informationen zur CVE:

Bei der Schwachstelle ist es möglich eine “XML External Entity injection” über ein speziell manipuliertes XFA innerhalb eines PDF Dokuments auszuführen.

Weitere Informationen können Sie unter folgendem Link finden: https://nvd.nist.gov/vuln/detail/CVE-2025-66516

Bewertung & Abhilfe:

affected

In der tika-core Version 3.2.2 ist die CVE nicht enthalten.

Folgende Worker Versionen wurden bereits geupdated und enthalten die CVE nicht mehr:

  • worker-totiff: 1.17.4

  • worker-imagemagick: 1.23.1

  • worker-decompress: 1.15.3

  • worker-pdfverifier: 1.6.2

  • worker-msoffice: 0.14.3

  • worker-document-content-extractor: 1.19.1

  • worker-emaildisassembly: 1.28.5

  • worker-xslfo: 1.26.1

  • worker-mailbodycreator: 1.23.3

  • worker-pdfpermissions: 1.12.2

  • worker-analyzer: 1.27.4

  • worker-clamav: 0.10.1

  • worker-anno-migrator

  • worker-htmltopdf: 1.14.3

  • worker-libreoffice: 1.31.1

  • worker-tessocr: 1.26.1

  • worker-topdf: 1.61.2

 

Aktualisierte Bundle Versionen ohne diese CVE:

  • Email Conversion: 0.32.0

  • Web Toolkit Addon: 1.9.0

  • Image Conversion: 1.11.1

  • Document Conversion: 1.11.4

  • Anno Migrator: 1.8.2

  • Archive Migrator: 0.9.4

  • Document Enhancer: 0.17.3