Apache Tika 中揭露了一個嚴重的安全漏洞，可能導致 XML 外部實體 ( XXE ) 注入攻擊。此漏洞編號為CVE-2025-66516，在 CVSS 評分標準中被評為 10.0 分，表示最高嚴重性。 該評分等級意味著此漏洞無需身份驗證即可被遠程利用，且會對機密性、完整性和可用性造成全面且災難性的影響。對於大量依賴 Apache Tika 進行文件內容提取和分析的應用程式和服務而言，這是一個極為關鍵的安全警訊。

根據漏洞公告，「Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模組在所有平台上的嚴重 XXE 漏洞允許攻擊者透過在 PDF 中執行在 PDF 實體的建構外部實體」。它會影響以下 Maven 包 - (1) org.apache.tika:tika-core >= 1.13, <= 3.2.1（已在 3.2.2 版本中修復） (2) org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1（已在 3.2.2 版本中修復） (3) org.apache.tika:tika-parsers >= 1.13, < 2.0.0（已在 2.0.0 版本中修復）

XML外部實體（XXE）注入是一種常見但危險的漏洞類型，發生在應用程式處理XML輸入，且XML解析器未禁用外部實體時。攻擊者可以透過構造惡意的XML，從目標系統讀取任意文件（例如敏感的系統檔案或使用者數據），發動服務阻斷攻擊（DoS），甚至在某些配置下執行遠程程式碼。此處，攻擊者利用在PDF文件內建構的惡意實體，成功繞過了Tika的防護機制。

經評估，CVE-2025-66516 與CVE-2025-54988 （CVSS 評分：8.4）相同，後者是內容偵測和分析框架中的另一個 XXE 漏洞，已由專案維護者於 2025 年 8 月修復。 Apache Tika 團隊表示，新的 CVE 從兩個方面擴大了受影響軟體包的範圍。

這並非Tika首次面臨XXE挑戰，但新的CVE-2025-66516不僅評分更高，其影響範圍也更廣泛，暴露了先前修復的不完整性，特別是它涉及兩個關鍵的擴大方面：

首先，雖然漏洞入口點是 CVE-2025-54988中報告的 tika-parser-pdf-module，但漏洞及其修復程序位於 tika-core 中。升級了tika-parser-pdf-module 但未將 tika-core 升級到 3.2.2 或更高版本的用戶仍然會受到此漏洞的影響。 其次，原報告沒有提到，在 Tika 1.x 版本中，PDFParser 位於“org.apache.tika:tika-parsers”模組中。鑑於該漏洞的嚴重性，建議用戶盡快套用更新以減輕潛在威脅。

這兩個技術細節至關重要，它們提醒了開發者在多模組專案中進行漏洞修復時的複雜性。如果使用者僅修復了PDF解析模組，而未更新作為核心依賴項的tika-core，則攻擊路徑依然存在。此外，Tika 1.x版本的使用者也必須將其依賴的tika-parsers模組升級至2.0.0版本或更高（或者至少是已修復的最新1.x版本），以確保安全。

鑑於CVE-2025-66516的極高嚴重性（CVSS 10.0），所有使用 Apache Tika 庫進行檔案處理的組織都應將此視為最高優先級的安全任務，立即審查並更新其依賴庫版本。未能及時更新將使系統面臨由單一惡意構造PDF檔案即可觸發的遠程、非授權的嚴重資料竊取或系統破壞風險。