Se ha descubierto una vulnerabilidad de severidad crítica en un módulo de Apache Tika. Esta podría permitir la lectura de datos sensibles en los sistemas afectados.
Productos afectados
- Apache Tika, versiones 1.13 hasta 3.2.1.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-54988: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad en el módulo tika-parser-pdf-module que podría permitir un ataque de XXE (XML External Entity injection) a través de un archivo XFA especialmente diseñado dentro de un PDF. Un actor malicioso podría explotar esta vulnerabilidad para leer datos sensibles o provocar solicitudes malignas a recursos internos o servidores de terceros.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-54988
- https://lists.apache.org/thread/8xn3rqy6kz5b3l1t83kcofkw0w4mmj1w