Vulnerabilidade crítica no Apache Tika pode permitir ataques XXE
Uma falha de segurança crítica foi identificada no Apache Tika, que pode resultar em um ataque de injeção de entidade externa XML (XXE). A vulnerabilidade, classificada como CVE-2025-66516, recebeu a pontuação máxima de 10.0 na escala CVSS, indicando sua gravidade. Essa falha afeta os módulos tika-core, tika-pdf-module e tika-parsers em várias versões, permitindo que um invasor execute injeções XXE através de arquivos XFA manipulados dentro de PDFs. O Apache Tika alertou que a vulnerabilidade se expande em relação a uma falha anterior (CVE-2025-54988), pois afeta mais pacotes e requer que os usuários atualizem tanto o tika-parser-pdf-module quanto o tika-core para a versão 3.2.2 ou superior. A injeção XXE é uma vulnerabilidade de segurança da web que pode permitir o acesso a arquivos do sistema de arquivos do servidor da aplicação e, em alguns casos, até a execução remota de código. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as atualizações o mais rápido possível para mitigar possíveis ameaças.