Apache Tika に重大な脆弱性が発生、数か月前に修正される予定だった from csoonline.com

security summary

2025.12.09

www.csoonline.com

Apache Tika hit by critical vulnerability thought to be patched months ago - csoonline.com

The scope of an old PDF parsing flaw has been widened to include more Tika modules.

同じ問題に対してCVEスーパーセットが発行されており、最初のものはCVE-2025-66516に対して発行されています。
XExEインジェクション脆弱性の脆弱性は、Apache Tikaコアおよびtikakaparsesバージョン1.13～2.288.5を含むTikaコンポーネントにも影響を及ぼします。
ただし、このxexeインジェクション脆弱性が外部の攻撃者によって悪用されているという証拠はありません。
この問題に対しては2つのCVEスーパーセットが発行されています。