根据其标题，远程主机上运行的 Apache Tika 版本低于 3.2.2。因此，它会通过在 PDF 中嵌入精心构建的 XFA 文件而受到 XML 外部实体 (XXE) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Process Management Suite 版本受到 2026 年 1 月 CPU 公告中提及的一个漏洞影响：

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Composer (Apache Commons FileUpload))。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle Business Process Management Suite 。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Solaris 挂起或频繁反复崩溃（完全 DOS）。（CVE-2025-48976）

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite  产品中的漏洞 (组件：Runtime Engine (Apache Tika))。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。虽然漏洞位于 Oracle Business Process Management Suite 中，但攻击可能对其他产品造成重大影响（范围更改）。成功利用此漏洞进行攻击可导致接管 Oracle Business Process Management Suite。(CVE-2025-66516)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块在所有平台上均存在严重 XXE 漏洞，攻击者可通过在 PDF 中嵌入精心构建的 XFA 文件来发起 XML 外部实体注入攻击。此 CVE 涵盖了与 CVE-2025-54988 中相同的漏洞。但是，此 CVE 会扩大受影响程序包的范围，原因有二。第一，虽然此漏洞的入口点为 CVE-2025-54988 中所报告的 tika-parser-pdf-module，但该漏洞及其修复程序却位于 tika-core 中。已升级 tika-parser-pdf-module 但未将 tika-core 升级到 >= 3.2.2 的用户仍会受到影响。第二，原始报告并未提及在 1.x Tika 版本中，PDFParser 位于 org.apache.tika:tika-parsers 模块中。(CVE-2025-66516)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 Oracle Business Process Management Suite 版本受到 2026 年 1 月 CPU 公告中提及的一个漏洞影响：

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Composer (Apache Commons Lang))。支持的版本中受影响的是 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Business Process Management Suite 部分拒绝服务（部分 DOS）。(CVE-2025-48924)

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Composer (Apache Commons FileUpload))。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle Business Process Management Suite 。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Solaris 挂起或频繁反复崩溃（完全 DOS）。（CVE-2025-48976）

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Oracle Business Rules (Apache Commons Compress))。支持的版本中受影响的是 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。成功利用此漏洞进行攻击可导致接管 Oracle Business Process Management Suite。(CVE-2025-54988)

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite  产品中的漏洞 (组件：Runtime Engine (Apache Tika))。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。虽然漏洞位于 Oracle Business Process Management Suite 中，但攻击可能对其他产品造成重大影响（范围更改）。成功利用此漏洞进行攻击可导致接管 Oracle Business Process Management Suite。(CVE-2025-66516)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Primavera Unifier 版本受到 2026 年 1 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：
    集成 (Apache Tika)。支持的版本中受影响的是 21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.16、24.12.0-24.12.12 和 25.12.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而破坏 Primavera Unifier。尽管漏洞存在于 Primavera Unifier 中但攻击也可对其他产品造成重大影响范围变更。如果成功攻击此漏洞，攻击者可在未经授权的情况下更新、插入或删除某些 Primavera Unifier 可访问数据，以及在未经授权的情况下读取部分 Primavera Unifier 可访问数据，并且可在未经授权的情况下造成 Primavera Unifier 部分拒绝服务（部分 DOS）。
    (CVE-2025-66516)

  - Oracle Construction and Engineering 的 Primavera Unifier 产品中的漏洞组件Reports (iTextPDF)。支持的版本中受影响的是 21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.16、24.12.0-24.12.12 和 25.12.0。轻松利用的漏洞可允许具有网络访问权限的未经身份验证的攻击者通过 HTTPS 危害 Primavera Unifier。成功攻击此漏洞可导致接管 Primavera Unifier。(CVE-2021-43113)

  - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：
    集成 (Spring Framework)。支持的版本中受影响的是 22.12.0-22.12.15、23.12.0-23.12.16、24.12.0-24.12.12 和 25.12.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而破坏 Primavera Unifier。成功攻击此漏洞可导致在未经授权的情况下访问重要数据或完整访问所有 Primavera Unifier 可访问数据。CVE-2025-41242、 CVE-2025-41249

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-16477 公告中所述的漏洞影响。

  - Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块在所有平台上均存在严重 XXE 漏洞，攻击者可通过在 PDF 中嵌入精心构建的 XFA 文件来发起 XML 外部实体注入攻击。此 CVE 涵盖了与 CVE-2025-54988 中相同的漏洞。但是，此 CVE 会扩大受影响程序包的范围，原因有二。第一，虽然此漏洞的入口点为 CVE-2025-54988 中所报告的 tika-parser-pdf-module，但该漏洞及其修复程序却位于 tika-core 中。已升级 tika-parser-pdf-module 但未将 tika-core 升级到 >= 3.2.2 的用户仍会受到影响。第二，原始报告并未提及在 1.x Tika 版本中，PDFParser 位于 org.apache.tika:tika-parsers 模块中。(CVE-2025-66516)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-101788 公告中提及的一个漏洞影响。

  - Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块在所有平台上均存在严重 XXE 漏洞，攻击者可通过在 PDF 中嵌入精心构建的 XFA 文件来发起 XML 外部实体注入攻击。此 CVE 涵盖了与 CVE-2025-54988 中相同的漏洞。但是，此 CVE 会扩大受影响程序包的范围，原因有二。第一，虽然此漏洞的入口点为 CVE-2025-54988 中所报告的 tika-parser-pdf-module，但该漏洞及其修复程序却位于 tika-core 中。已升级 tika-parser-pdf-module 但未将 tika-core 升级到 >= 3.2.2 的用户仍会受到影响。第二，原始报告并未提及在 1.x Tika 版本中，PDFParser 位于 org.apache.tika:tika-parsers 模块中。(CVE-2025-66516)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-101872 公告中提及的一个漏洞影响。

  - Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块在所有平台上均存在严重 XXE 漏洞，攻击者可通过在 PDF 中嵌入精心构建的 XFA 文件来发起 XML 外部实体注入攻击。此 CVE 涵盖了与 CVE-2025-54988 中相同的漏洞。但是，此 CVE 会扩大受影响程序包的范围，原因有二。第一，虽然此漏洞的入口点为 CVE-2025-54988 中所报告的 tika-parser-pdf-module，但该漏洞及其修复程序却位于 tika-core 中。已升级 tika-parser-pdf-module 但未将 tika-core 升级到 >= 3.2.2 的用户仍会受到影响。第二，原始报告并未提及在 1.x Tika 版本中，PDFParser 位于 org.apache.tika:tika-parsers 模块中。(CVE-2025-66516)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Apache Tika 版本低于 3.2.2。因此会受到 XXE 漏洞的影响:

  - Apache Tika tika-core (1.13-3.2.1) 中的严重 XXE 允许攻击者通过在 PDF 中嵌入精心构建的 XFA 文件来执行 XML 外部实体注入。此 CVE 涵盖了与 CVE-2025-54988 中相同的漏洞。但是，此 CVE 会扩大受影响程序包的范围，原因有二。第一，虽然此漏洞的入口点为 CVE-2025-54988 中所报告的 tika-parser-pdf-module，但该漏洞及其修复程序却位于 tika-core 中。已升级 tika-parser-pdf-module 但未将 tika-core 升级到 >= 3.2.2 的用户仍会受到影响。第二，原始报告并未提及在 1.x Tika 版本中，PDFParser 位于“org.apache.tika:tika-parsers”模块中。(CVE-2025-66516)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Windows 主机上安装的 Adobe ColdFusion 版本低于 2023.x update 18 或 2025.x update 6。
因此，该应用程序受到 Apache Tika 捆绑依存关系中的一个漏洞影响，此漏洞可导致任意代码执行。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
115073	Apache Tika < 3.2.2 XML 外部实体	Web App Scanning	Component Vulnerability	2025/12/11	2025/12/11	critical
294977	Oracle Business Process Management Suite (12.2.1.4.0)（2026 年 1 月 CPU）	Nessus	Misc.	2026/1/22	2026/2/4	critical
277526	Linux Distros 未修补的漏洞：CVE-2025-66516	Nessus	Misc.	2025/12/4	2026/4/29	critical
294978	Oracle Business Process Management Suite (14.1.2.0.0)（2026 年 1 月 CPU）	Nessus	Misc.	2026/1/22	2026/4/30	critical
295029	Oracle Primavera Unifier2026 年 1 月 CPU	Nessus	CGI abuses	2026/1/22	2026/4/30	critical
282327	Atlassian Jira Service Management Data Center and Server < 10.3.15 / 11.0.x < 11.2.1 (JSDSERVER-16477)	Nessus	Misc.	2026/1/7	2026/2/18	critical
282328	Atlassian Confluence < 8.5.31 / 8.6.x < 9.2.13 / 9.3.x < 10.2.2 (CONFSERVER-101788)	Nessus	CGI abuses	2026/1/7	2026/2/18	critical
298255	Atlassian Confluence 7.19 < 8.5.31/8.6.x < 9.2.13/9.3.x < 10.2.2 (CONFSERVER-101872)	Nessus	CGI abuses	2026/2/6	2026/2/9	critical
281841	Apache Tika 1.13 < 3.2.2 XXE (CVE-2025-66516)	Nessus	Misc.	2026/1/6	2026/2/18	critical
286269	Adobe ColdFusion < 2023.x < 2023u18 / 2025.x < 2025u6 RCE (APSB26-12)	Nessus	Windows	2026/1/15	2026/4/30	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical