Tika
Уязвимости
24
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.94106
Распределение по критичности
Критический
1
Высокий
8
Средний
11
Низкий
4
Также сопоставлено как (исходные строки): tika
Топ уязвимостей
CVE-2025-66516Критические модули XXE в Apache Tika tika-core (1.13-3.2.1), модули tika-pdf-df (2.0.0-3.2.1) и tika-parsers (1.13-1.28.5) на всех платформах позволяют злоумышленнику выполнять инъекцию XML External Entity через созданный файл XFA внутри PDF.
Этот CVE охватывает ту же уязвимость, что и в CVE-2025-54988. Однако этот CVE расширяет сферу охвата затронутых пакетов двумя способами.
Во-первых, в то время как точкой входа для уязвимости был тикка-парсер-pdf-модуль, как сообщается в CVE-2025-54988, уязвимость и ее исправление были в тика-ядре. Пользователи, которые модернизировали tika-parser-pdf-module, но не обновили tika-core до >= 3.2.2, по-прежнему будут уязвимы.
Во-вторых, в первоначальном отчете не упоминалось, что в релизах 1.x Tika PDFParser был в модуле "org.apache.tika:tika-parsers".
CVE-2019-10088Тщательно разработанный или поврежденный zip-файл может вызвать OOM в RecursiveParserWrapper Apache Tika в версиях 1.7-1.21. Пользователям следует обновиться до версии 1.22 или более поздней.
CVE-2018-1335В Apache Tika версий 1.7 - 1.17 клиенты могли отправлять тщательно созданные заголовки на tika-server, которые могли использоваться для внедрения команд в командную строку сервера, на котором работает tika-server. Эта уязвимость затрагивает только тех, кто запускает tika-server на сервере, открытом для ненадежных клиентов. Для устранения проблемы необходимо обновиться до Tika 1.18.
CVE-2025-54988Критическая уязвимость XXE в Apache Tika (модуль tika-parser-pdf-module) версий с 1.13 по 3.2.1 включительно на всех платформах позволяет злоумышленнику осуществить инъекцию XML External Entity через специально созданный файл XFA внутри PDF. Злоумышленник может получить доступ к конфиденциальным данным или инициировать вредоносные запросы к внутренним ресурсам или серверам третьих лиц. Обратите внимание, что модуль tika-parser-pdf-module используется в качестве зависимости в нескольких пакетах Tika, включая как минимум: tika-parsers-standard-modules, tika-parsers-standard-package, tika-app, tika-grpc и tika-server-standard. Пользователям рекомендуется обновиться до версии 3.2.2, в которой исправлена эта проблема [1].
Источники:
- [1] https://lists.apache.org/thread/8xn3rqy6kz5b3l1t83kcofkw0w4mmj1w
CVE-2019-10094Тщательно разработанный пакет/сжатый файл, который при распаковке/распаковке дает тот же файл (quine), вызывает StackOverflowError в RecursiveParserWrapper Apache Tika в версиях 1.7-1.21. Пользователям Apache Tika следует обновиться до версии 1.22 или более поздней.
CVE-2016-6809Apache Tika до версии 1.14 позволяет выполнять код Java для сериализованных объектов, внедренных в файлы MATLAB. Проблема существует из-за того, что Tika вызывает JMatIO для выполнения собственной десериализации.
CVE-2018-11796В Apache Tika 1.19 (CVE-2018-11761) мы добавили ограничение расширения сущностей для синтаксического анализа XML. Однако Tika повторно использует SAXParsers и вызывает reset() после каждого синтаксического анализа, что для синтаксических анализаторов Xerces2, согласно документации, удаляет указанный пользователем SecurityManager и, таким образом, удаляет ограничения расширения сущностей после первого синтаксического анализа. Поэтому версии Apache Tika от 0.1 до 1.19 по-прежнему уязвимы для расширений сущностей, которые могут привести к атаке типа «отказ в обслуживании». Пользователям следует обновиться до версии 1.19.1 или более поздней.
CVE-2018-11762В Apache Tika 0.9 - 1.18 в редком крайнем случае, когда пользователь не указывает каталог извлечения в командной строке (--extract-dir=), а входной файл содержит встроенный файл с абсолютным путем, например «C:/evil.bat», tika-app перезапишет этот файл.
CVE-2018-11761В Apache Tika 0.1 - 1.18 XML-парсеры не были настроены для ограничения расширения сущностей. Поэтому они были уязвимы для уязвимости расширения сущностей, которая может привести к атаке типа «отказ в обслуживании».
CVE-2019-10093В Apache Tika 1.19 - 1.21 тщательно разработанный файл 2003ml или 2006ml может исчерпать все доступные SAXParser в пуле и привести к очень длительным зависаниям. Пользователям Apache Tika следует обновиться до версии 1.22 или более поздней.
CVE-2018-17197Тщательно созданный или поврежденный файл sqlite может вызвать бесконечный цикл в SQLite3Parser Apache Tika в версиях 1.8-1.19.1 Apache Tika.
CVE-2018-1339Тщательно созданный (или подвергнутый фаззингу) файл может вызвать бесконечный цикл в ChmParser Apache Tika в версиях Apache Tika до 1.18.
CVE-2018-1338Тщательно созданный (или подвергнутый фаззингу) файл может вызвать бесконечный цикл в BPGParser Apache Tika в версиях Apache Tika до 1.18.
CVE-2022-25169BPG-парсер в версиях Apache Tika до 1.28.2 и 2.4.0 может выделить необоснованно большой объем памяти для тщательно разработанных файлов.
CVE-2021-28657Тщательно подобранный или поврежденный файл может вызвать бесконечный цикл в MP3Parser Tika до и включая Tika 1.25. Пользователи Apache Tika должны обновиться до 1.26 или более поздней версии.
CVE-2020-9489Тщательно созданный или поврежденный файл может вызвать System.exit в анализаторе OneNote Tika. Созданные или поврежденные файлы также могут вызывать ошибки нехватки памяти и/или бесконечные циклы в анализаторах ICNSParser, MP3Parser, MP4Parser, SAS7BDATParser, OneNoteParser и ImageParser Tika. Пользователям Apache Tika следует обновиться до версии 1.24.1 или более поздней. Уязвимости в MP4Parser были частично устранены путем обновления зависимости com.googlecode:isoparser:1.1.22 до org.tallison:isoparser:1.9.41.2. По несвязанным причинам безопасности мы обновили org.apache.cxf до 3.3.6 в рамках выпуска 1.24.1.
CVE-2020-1951Тщательно разработанный или поврежденный PSD-файл может вызвать бесконечный цикл в PSDParser Apache Tika в версиях 1.0-1.23.
CVE-2020-1950Тщательно разработанный или поврежденный PSD-файл может вызвать чрезмерное использование памяти в PSDParser Apache Tika в версиях 1.0-1.23.
CVE-2016-4434Apache Tika до версии 1.13 неправильно инициализирует XML-парсер или выбирает обработчики, что может позволить удаленным злоумышленникам проводить атаки XML External Entity (XXE) через векторы, включающие (1) электронные таблицы в файлах OOXML и (2) метаданные XMP в PDF и других форматах файлов, что является связанной проблемой с CVE-2016-2175.
CVE-2015-3271Сервер Apache Tika (aka tika-server) в Apache Tika 1.9 может позволить удаленным злоумышленникам читать произвольные файлы через заголовок HTTP fileUrl.
CVE-2022-33879Первоначальных исправлений в CVE-2022-30126 и CVE-2022-30973 для регулярных выражений в StandardsExtractingContentHandler было недостаточно, и мы обнаружили отдельный новый DoS регулярных выражений в другом регулярном выражении в StandardsExtractingContentHandler. Теперь они исправлены в версиях 1.28.4 и 2.4.1.
CVE-2022-30973Нам не удалось применить исправление для CVE-2022-30126 к ветке 1.x в выпуске 1.28.2. В Apache Tika регулярное выражение в классе StandardsText, используемое StandardsExtractingContentHandler, может привести к отказу в обслуживании, вызванному возвратом к началу на специально созданном файле. Это затрагивает только пользователей, которые используют StandardsExtractingContentHandler, который является нестандартным обработчиком. Это исправлено в версии 1.28.3.
CVE-2022-30126В Apache Tika регулярное выражение в нашем классе StandardsText, используемом StandardsExtractingContentHandler, может привести к отказу в обслуживании, вызванному возвратом к специально созданному файлу. Это влияет только на пользователей, запускающих StandardsExtractingContentHandler, который является нестандартным обработчиком. Это исправлено в версиях 1.28.2 и 2.4.0.
CVE-2018-8017В Apache Tika с 1.2 по 1.18 тщательно разработанный файл может вызвать бесконечный цикл в IptcAnpaParser.