ГлавнаяБаза уязвимостей БДУ → BDU:2026-00894
10критическая

BDU:2026-00894 (CVE-2025-54988)

Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2026-01-28
Описание

Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки путем отправки специально созданного XFA-файла внутри PDF-файла

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Tika Core (от 1.13 до 3.2.1 включительно)Tika Parsers (от 1.13 до 2.0.0)Tika PDF (от 2.0.0 до 3.2.1 включительно)
Способ устранения

Использование рекомендаций:
Для Apache Tika:
https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-54988

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.apache.org/thread/8xn3rqy6kz5b3l1t83kcofkw0w4mmj1whttps://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9khttps://www.openwall.com/lists/oss-security/2025/08/20/2https://www.openwall.com/lists/oss-security/2025/08/20/3https://lists.debian.org/debian-lts-announce/2025/10/msg00030.htmlhttps://security-tracker.debian.org/tracker/CVE-2025-54988https://xakep.ru/2025/12/08/tika-xxe/
Проверьте безопасность своего сайта и почты → Полная проверка домена