漏洞描述
【漏洞对象】tika-server 【涉及版本】before Tika1.18 【漏洞描述】ApacheTika工具集可以检测和提取上千种不同文件类型(比如PPT,XLS,PDF等)中的元数据和文本,ApacheTika由Java库,命令行工具和一个有自己的REST API的独立服务器(tikaserver)组成。该漏洞是由于OCR(光学字符识别),可从图像中提取文本和内容,因此可以上传图像文件进行命令注入,和OCR函数产生交互后达到“doOCR”功能,从而达到了命令执行
Apache Tika 命令注入漏洞(CVE-2018-1335)
PoC代码
暂无相关漏洞推荐
-
CVE-2018-1335: Apache Tika <1.1.8- Header Command Injection POC
2025-08-01 | Apache TikaApache Tika versions 1.7 to 1.17 allow clients to send carefully crafted headers to tika-server that... -
Apache Tika 资源管理错误漏洞 无POC
2022-05-25 | Apache TikaApache Tika是美国阿帕奇(Apache)基金会的一个集成了POI(使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库)、Pdfbox(读取和创建PDF文档的纯... -
Apache Tika 资源管理错误漏洞 无POC
2020-03-23 | Apache TikaApache Tika是美国阿帕奇(Apache)软件基金会的一个集成了POI(使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库)、Pdfbox(读取和创建PDF文档... -
CVE-2018-1000600: Pre-auth Fully-responded SSRF POC
2025-09-01 | Pre-authA exposure of sensitive information vulnerability exists in Jenkins GitHub Plugin 1.29.1 and earlier... -
CVE-2018-1000861: Jenkins 2.138 Remote Command Execution POC
2025-09-01 | JenkinsA code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier...