Apache Tika 漏洞列表

Apache Tika versions 1.7 to 1.17 allow clients to send carefully crafted headers to tika-server that could be used to inject commands into the command line of the server running tika-server. This vulnerability only affects those running tika-server on a server that is open to untrusted clients.

Apache Tika是美国阿帕奇（Apache）基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.28.2 和 2.4.0 之前版本存在安全漏洞，该漏洞源于 BPG 解析器可能会在精心制作的文件上分配不合理的内存量。

【漏洞对象】tika-server 【涉及版本】before Tika1.18 【漏洞描述】ApacheTika工具集可以检测和提取上千种不同文件类型（比如PPT,XLS,PDF等）中的元数据和文本,ApacheTika由Java库，命令行工具和一个有自己的REST API的独立服务器（tikaserver）组成。该漏洞是由于OCR（光学字符识别），可从图像中提取文本和内容，因此可以上传图像文件进行命令注入，和OCR函数产生交互后达到“doOCR”功能，从而达到了命令执行

Apache Tika是美国阿帕奇（Apache）软件基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.0版本至1.23版本中的PSDParser存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的管理不当。

Apache Tika是美国阿帕奇（Apache）软件基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.19版本至1.21版本中存在安全漏洞。攻击者可借助特制的2003ml或2006ml文件利用该漏洞造成拒绝服务（长时间挂起）。

Apache Tika是美国阿帕奇（Apache）软件基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.7版本至1.21版本中的RecursiveParserWrapper存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

Apache Tika是美国阿帕奇（Apache）软件基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.7版本至1.21版本中的RecursiveParserWrapper存在缓冲区错误漏洞。攻击者可利用该漏洞造成拒绝服务。

Apache Tika可利用现有的解析类库从不同格式的文档中（例如HTML, PDF, Doc)侦测和提取出元数据和结构化内容。

Apache Tika是美国阿帕奇（Apache）软件基金会的一个集成了POI（使用Java程序对Microsoft Office格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika 1.9版本中的Apache Tika server存在信息泄露漏洞。攻击者可借助HTTP fileUrl头利用该漏洞读取任意文件。