聚焦源代码安全,网罗国内外最新资讯!
该漏洞源自 Apache Tika PDF解析器模块 (org.apache.tika:tika-parser-pdf-module) 中的一个XXE 注入弱点。亚马逊公司的安全研究员 Pars Jain 和 Yakov Shafranovich 发现,1.13至3.2.1版本均受影响,攻击者可通过 PDF 文档中内嵌的特殊构造的 XFA 文件实施利用。
该攻击向量设计操纵 PDF 文件中的 XFA 内容触发XXE处理,可导致越权数据暴露和服务器端请求伪造攻击。XFA 技术由 Adobe 公司开发,可导致PDF文档包含使用 XML 结构的动态形式内容。然而,对这些XML结构中外部实体引用的不当处理可创建一个恶意利用路径。
该漏洞影响依赖于PDF 解析模块的多个 Apache Tika包,包括 tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc 和 tika-server-standard。这种广泛影响大大扩大了企业环境中依赖于 Tika 进行文档处理的潜在攻击面。
安全专家提到,由于该漏洞可暴露敏感数据和内部网络侦查,因此督促用户应立即修复该漏洞。
攻击者可利用该XXE弱点读取本地文件、访问内部网络资源,或者强迫该易受攻击系统向受攻击者控制的服务器提出请求,从而可能导致数据泄露或系统遭攻陷。
使用受影响版本的组织机构应当管理级升级至 Apache Tika 3.2.2版本。Apache 软件基金会已在该版本中修复该漏洞。系统管理员也应当执行额外的安全措施,包括为PDF上传提供输入验证、网络分段限制潜在的XXE利用影响,以及监控可疑的XML处理活动。鉴于该漏洞的严重性以及 Apache Tika在企业文档处理工作流中的广泛使用,安全团队应当在漏洞管理计划中优先更新版本。
Apache Tomcat 多个漏洞可导致攻击者触发DoS攻击
Apache CloudStack 严重漏洞可用于执行权限操作
Apache Roller CVSS 满分漏洞可用于获取持久性访问权限
https://cybersecuritynews.com/apache-tika-pdf-parser-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~