Apache Tika存在嚴重XXE漏洞，惡意XFA PDF可遠端讀取伺服器資料

Apache基金會旗下文件內容分析工具Apache Tika爆出一項嚴重的XML外部實體（XML External Entity，XXE）漏洞，編號CVE-2025-66516，CVSS風險分數為10分滿分。攻擊者只要送出內嵌XFA（XML Forms Architecture）表單的惡意PDF檔，便可能在未經驗證且無須使用者互動的情況下，遠端讀取伺服器上的敏感資料或對內部系統發送請求。