漏洞概述
Apache Tika的tika-parser-pdf-module组件在1.13至3.2.1版本中存在关键XML外部实体(XXE)漏洞CVE-2025-54988。攻击者可通过特制的XFA文件嵌入PDF中实施攻击,可能导致敏感数据泄露或向内部资源及第三方服务器发起恶意请求。
影响范围
受影响组件
- tika-parser-pdf-module
- tika-parsers-standard-modules
- tika-parsers-standard-package
- tika-app
- tika-grpc
- tika-server-standard
FortiDLP影响版本
| 版本 | 受影响状态 | 解决方案 |
|---|---|---|
| FortiDLP 12.2 | 12.2.1至12.2.2 | 升级至12.2.3或更高版本 |
| FortiDLP 12.1 | 所有版本 | 迁移至修复版本 |
| FortiDLP 12.0 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.5 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.4 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.3 | 所有版本 | 迁移至修复版本 |
| FortiDLP 11.2 | 不受影响 | 不适用 |
| FortiDLP 10.4 | 不受影响 | 不适用 |
| FortiDLP 6.0 | 不受影响 | 不适用 |
技术详情
漏洞类型:XML外部实体注入(XXE)
CVSSv3评分:8.0(高危)
影响:执行未授权代码或命令
修复版本:Apache Tika 3.2.2
时间线
- 2025年10月14日:初始发布
参考链接
元数据
- IR编号:FG-IR-25-771
- 发布日期:2025年10月14日
- 组件:CLI
- CVE ID:CVE-2025-54988