04.05.2026
·Apache Tika CHANGES·erfasst 22.05.2026
Preview-Release der 4.x-Linie (Pre-release/Alpha, NICHT für Produktion). XML → JSON-Konfiguration (TIKA-4544). tika-pipes komplett refactored: Implementierungsmodule nach Ressource (tika-pipes-solr) vs Task (tika-pipes-fetcher-solr) getrennt, File-System-Komponenten in eigenes pf4j-Modul ausgelagert, alle pipes-Implementierungen als pf4j-Plugins. MetadataListFilter zu MetadataFilter umbenannt, alter MetadataFilter entfernt. Mehrere Module entfernt: tika-batch, snaps, dotnet, advanced media, tika-dl, tika-fuzzing. HTML-Metadata mit Prefix 'html:', MAPI-Prefix 'mapi:'. DigestingParser und legacy ExternalParser entfernt. tika-parsers-standard-package POM statt JAR.
Für razzfazz.ai Box mittelfristig relevant — 4.0 Stable wird signifikante Anpassungen am Docker-Image-Build und Konfiguration erfordern. Migration rechtzeitig evaluieren, Alpha jetzt NICHT deployen. Beobachten bis 4.0.0 stable.
04.12.2025
·NVD/NIST·erfasst 22.05.2026
ASF hat CVE-2025-66516 als Erweiterung der ursprünglichen CVE-2025-54988 (Aug 2025) veröffentlicht. XML External Entity (XXE) Injection via crafted XFA content in PDFs. Originale CVE auf PDF-Modul beschränkt — Nachveröffentlichung stellt klar dass Fehler in tika-core sitzt: Nutzer die nur tika-parser-pdf-module aber nicht tika-core auf ≥3.2.2 aktualisiert haben bleiben verwundbar. NIST: CVSS 9.8 Critical (Network), ASF: 8.4 High (Local). Betroffen: tika-core 1.13-3.2.1, tika-pdf-module 2.0.0-3.2.1, tika-parsers 1.13-1.28.5. Fix ab 3.2.2 in tika-core. Reporters: Paras Jain & Yakov Shafranovich (Amazon). Exploit: präpariertes PDF mit XFA-Forms triggert externe Entity-Resolution → sensible Datei-Disclosure oder outbound network.
KEIN Handlungsbedarf — deployed 3.3.0 bereits gefixt (Fix in 3.2.2). WICHTIG: bei partial-update immer tika-core mit upgraden, nicht nur PDF-Modul. Für ISO27001-Audit relevant — sauberer Nachweis dass deployed Version nicht betroffen.