Zum 4. Dezember 2025 haben die Apache-Software-Foundation vor einer kritischer Schwachstelle im Tika-Modul gewarnt. Der Schwachstelle CVE-2025-66516 wurde ein CVSS-Score von 10.0 (höchster Wert) zugewiesen. Tika erkennt und extrahiert Metadaten aus über 1.000 verschiedenen Dateiformaten.
In der Mitteilung CVE-2025-66516: Apache Tika core, Apache Tika parsers, Apache Tika PDF parser module: Update to CVE-2025-54988 to expand scope of artifacts affected informieren die Entwickler, dass eine Beschreibung zur im August 2025 geschlossene Schwachstelle CVE-2025-54988 (CVSS-Score von 8.4) fehlerhaft war und die Schwachstelle nach wie vor Angriffe ermöglichen könnte.
Die in CVE-2025-54988 berichtete Schwachstelle gibt an, dass der Fix sich auf das Tika-Parser-pdf-Modul bezieht. Allerdings befand sich die Schwachstelle im tika-core (und wurde dort auch gepatcht. Benutzer, die das tika-parser-pdf-module aktualisiert haben, aber tika-core nicht auf >= 3.2.2 aktualisiert haben, sind weiterhin anfällig.
Zweitens wurde im ursprünglichen Bericht nicht erwähnt, dass in den 1.x-Versionen von Tika der PDFParser im Modul org.apache.tika:tika-parsers enthalten war. Hier die betroffenen Versionen:
- Apache Tika core (org.apache.tika:tika-core) 1.13 through 3.2.1
- Apache Tika parsers (org.apache.tika:tika-parsers) 1.13 before 2.0.0
- Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) 2.0.0 through 3.2.1
Es sollte so schnell als möglich gepatcht werden.
MVP: 2013 – 2016
