ГлавнаяБаза уязвимостей БДУ → BDU:2025-15736
10критическая

BDU:2025-15736 (CVE-2025-66516)

Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-12-15
Описание

Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем внедрения специально сформированного XFA-шаблона

Затрагиваемое ПО и версии
Tika Core (от 1.13 до 3.2.1 включительно)Tika Parsers (от 1.13 до 2.0.0)Tika PDF (от 2.0.0 до 3.2.1 включительно)GitFlic (до 4.8.2 включительно)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности открытия файлов, полученных из недоверенных источников;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование средств межсетевого экранирования для ограничения доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

Для «GitFlic» Self-hosted:
Обновление программного обеспечения, применение обновления «GitFlic» 4.8.3, предоставляемого в личном кабинете пользователя https://lk.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD), а также на официальном сайте GitFlic https://gitflic.ru/project/gitflic/gitflic/release

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/Ashwesker/Blackash-CVE-2025-66516https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9khttps://gitflic.ru/project/gitflic/gitflic/releasehttps://lk.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)
Проверьте безопасность своего сайта и почты → Полная проверка домена