Apache expone la vulnerabilidad 10.0 en Tika y su alcance

La Apache Software Foundation alertó el viernes sobre una vulnerabilidad 10.0 en Tika, su toolkit de análisis de archivos, que pone en riesgo la extracción y manejo de datos a escala. La vulnerabilidad, ligada a la interacción entre el parser de PDF y tika-core, afecta a entornos que no alinearon las versiones tras la última corrección.

El aviso sucede a CVE-2025-54988 (8.4), que habilitaba XML External Entity (XXE) mediante XFA en PDF. Ahora, CVE-2025-66516 eleva el impacto y amplía el vector: el punto de entrada era el módulo PDF, pero el fallo residía en el núcleo, intensificando la vulnerabilidad 10.0 en Tika.

Impacto de la vulnerabilidad 10.0 en Tika

Los mantenedores explicaron que actualizar solo tika-parser-pdf-module sin llevar tika-core a >= 3.2.2 dejó sistemas expuestos. El desajuste de versiones generó confusión y mantuvo la superficie de ataque abierta.

• Componente afectado: tika-core; punto de entrada: tika-parser-pdf-module.
• Versión mínima segura declarada: tika-core >= 3.2.2.
• Vector original: XXE vía XFA en documentos PDF (CVE-2025-54988).
• Escalada relacionada: CVE-2025-66516 con severidad máxima.
• Riesgo asociado a la vulnerabilidad 10.0 en Tika: exposición de datos y abusos de procesamiento de contenido.
• Cronología: corrección previa en agosto; nueva alerta el viernes con alcance ampliado.

Respuesta a la vulnerabilidad 10.0 en Tika

El equipo de Tika reordenó el código en lanzamientos recientes para evitar ambigüedades entre módulos y núcleo. La corrección actual abarca los escenarios detectados y refuerza la trazabilidad de dependencias, cerrando brechas que mantenían viva la vulnerabilidad 10.0 en Tika.

La documentación oficial de Tika describe el modelo modular y los cambios de versiones recientes en su portal tika.apache.org. La comunicación insiste en que un salto parcial de componentes no neutraliza la vulnerabilidad 10.0 en Tika cuando el núcleo queda rezagado.

Oleada DDoS desde las Américas

OVH elevó su capacidad de defensa en 2–3 Tbps frente a ataques DDoS originados en Estados Unidos y Sudamérica. Desde septiembre de 2025 se registran picos de 15–16 Tbps dirigidos a nodos de entrada en ciudades como Miami y Dallas.

Marco de disuasión cibernética

Un representante republicano presentó el Cyber Deterrence and Response Act para armonizar atribución, cooperación interagencial y coordinación con el sector privado. La propuesta contempla compartir inteligencia con aliados y estandarizar procesos sancionatorios frente a actores maliciosos.

NIST afina guías de IoT

El NIST publicó guías sobre incorporación segura de dispositivos IoT, con foco en provisión, onboarding y gestión del ciclo de vida. El programa de ciberseguridad IoT del instituto está disponible en NIST Cybersecurity for IoT.

Spyware Predator y estafas cripto

Intellexa, fabricante de Predator, permanece bajo sanciones y escrutinio, mientras Google advierte su adaptación para evadir controles. En paralelo, el DoJ desmanteló Tickmilleas.com, un sitio de estafas con criptomonedas, en un contexto de expansión de centros de fraude en Asia y otras regiones.

Con la reestructuración de código ya incorporada y el parche en circulación, la Apache Software Foundation asegura que el alcance de la vulnerabilidad 10.0 en Tika queda cubierto en escenarios antes omitidos, a la espera de la estabilización completa del ecosistema de dependencias.