enero 14, 2026
APACHETIKA.jpg

5 de diciembre de 2025Ravie LakshmananSeguridad/vulnerabilidad de la aplicación

Se ha descubierto una vulnerabilidad de seguridad crítica en Apache Tika que podría provocar un ataque de inyección de entidad externa XML (XXE).

La vulnerabilidad, rastreada como CVE-2025-66516tiene una calificación de 10,0 en la escala de calificación CVSS, lo que indica el nivel más alto de gravedad.

“El XXE crítico en los módulos Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) en todas las plataformas permite a un atacante realizar una inyección de entidad externa XML a través de un archivo XFA diseñado dentro de un archivo PDF”, dice una nota sobre la vulnerabilidad.

Ciberseguridad

Afecta a los siguientes paquetes de Maven:

  • org.apache.tika:tika-core >= 1.13, <= 3.2.1 (parcheado en la versión 3.2.2)
  • org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (parcheado en la versión 3.2.2)
  • org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (parcheado en la versión 2.0.0)

La inyección XXE se refiere a una vulnerabilidad web que permite a un atacante interferir con el procesamiento de datos XML de una aplicación. Esto, a su vez, permite el acceso a archivos en el sistema de archivos del servidor de aplicaciones y, en algunos casos, incluso la ejecución remota de código.

Se estima que CVE-2025-66516 es idéntico a CVE-2025-54988 (puntuación CVSS: 8,4), otra falla XXE en el marco de descubrimiento y análisis de contenido que fue parcheada por los mantenedores del proyecto en agosto de 2025. El nuevo CVE, según el equipo de Apache Tika, amplía el alcance de los paquetes afectados de dos maneras.

“Primero, si bien el punto de entrada para la vulnerabilidad era el módulo PDF del analizador Tika, como se informa en CVE-2025-54988, la vulnerabilidad y su solución estaban ubicadas en Tika-Core”, dijo el equipo. “Los usuarios que hayan actualizado el motor de PDF del analizador de Tika pero no hayan actualizado el núcleo de Tika a >= 3.2.2 seguirían siendo vulnerables”.

“En segundo lugar, el informe original no menciona que PDFParser estaba ubicado en el módulo org.apache.tika:tika-parsers en las versiones 1.x de Tika”.

Dada la gravedad de la vulnerabilidad, se recomienda a los usuarios que apliquen las actualizaciones lo antes posible para mitigar posibles amenazas.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

lenovo-sebut-agentic-ai-bukan-cuma-hype-1768303953864_169.jpeg

Según Lenovo, la IA agente no es sólo una exageración, ¿cómo es en Indonesia?

enero 14, 2026 0
004016100_1768359852-Gojek_Error.jpeg

Se produjo un error, Gojek dijo que el problema técnico se resolvió el martes pasado.

enero 14, 2026 0
pixel-9a.png

Google podría estar reviviendo el color rosa brillante del año pasado para el Pixel 10a

enero 14, 2026 0
024017600_1763619831-Claude.jpg

Claude for Healthcare lanza la respuesta de Anthropic a ChatGPT Health

enero 14, 2026 0
ilustrasi-t1BK_large.jpg

Malasia emprenderá acciones legales contra X y xAI con respecto a Chatbot Grok: Okezone Ototekno

enero 14, 2026 0
1768356370_hujan-lebat-guyur-jakarta-1754996029265_169.jpeg

¿Está lloviendo hoy? Consulta las predicciones del BMKG

enero 14, 2026 0