CVE-2020-9489 (CNNVD-202004-2171)

MEDIUM
中文标题:
Apache Tika 安全漏洞
英文标题:
A carefully crafted or corrupt file may trigger a System.exit in Tika's OneNote Parser. Crafted or c...
CVSS分数: 5.5
发布时间: 2020-04-27 13:25:27
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Apache Tika是美国阿帕奇(Apache)基金会的一个集成了POI(使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库)、Pdfbox(读取和创建PDF文档的纯Java类库)并为文本抽取工作提供了统一界面的内容抽取工具集合。 Apache Tika中的OneNote Parser的MP4Parser存在安全漏洞。攻击者可借助特制的文件或损坏的文件利用该漏洞造成内存不足及/或无限循环。

英文描述:

A carefully crafted or corrupt file may trigger a System.exit in Tika's OneNote Parser. Crafted or corrupted files can also cause out of memory errors and/or infinite loops in Tika's ICNSParser, MP3Parser, MP4Parser, SAS7BDATParser, OneNoteParser and ImageParser. Apache Tika users should upgrade to 1.24.1 or later. The vulnerabilities in the MP4Parser were partially fixed by upgrading the com.googlecode:isoparser:1.1.22 dependency to org.tallison:isoparser:1.9.41.2. For unrelated security reasons, we upgraded org.apache.cxf to 3.3.6 as part of the 1.24.1 release.

CWE类型:
CWE-835
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
The Apache Software Foundation Apache Tika Up to 1.24 - - cpe:2.3:a:the_apache_software_foundation:apache_tika:up_to_1.24:*:*:*:*:*:*:*
apache tika 1.24 - - cpe:2.3:a:apache:tika:1.24:*:*:*:*:*:*:*
oracle flexcube_private_banking 12.0.0 - - cpe:2.3:a:oracle:flexcube_private_banking:12.0.0:*:*:*:*:*:*:*
oracle flexcube_private_banking 12.1.0 - - cpe:2.3:a:oracle:flexcube_private_banking:12.1.0:*:*:*:*:*:*:*
oracle primavera_unifier * - - cpe:2.3:a:oracle:primavera_unifier:*:*:*:*:*:*:*:*
oracle primavera_unifier 16.1 - - cpe:2.3:a:oracle:primavera_unifier:16.1:*:*:*:*:*:*:*
oracle primavera_unifier 16.2 - - cpe:2.3:a:oracle:primavera_unifier:16.2:*:*:*:*:*:*:*
oracle primavera_unifier 18.8 - - cpe:2.3:a:oracle:primavera_unifier:18.8:*:*:*:*:*:*:*
oracle primavera_unifier 19.12 - - cpe:2.3:a:oracle:primavera_unifier:19.12:*:*:*:*:*:*:*
oracle webcenter_portal 12.2.1.3.0 - - cpe:2.3:a:oracle:webcenter_portal:12.2.1.3.0:*:*:*:*:*:*:*
oracle webcenter_portal 12.2.1.4.0 - - cpe:2.3:a:oracle:webcenter_portal:12.2.1.4.0:*:*:*:*:*:*:*
oracle communications_messaging_server 8.1 - - cpe:2.3:o:oracle:communications_messaging_server:8.1:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
[james-notifications] 20210501 [GitHub] [james-project] chibenwa opened a new pull request #414: [UPGRADE] Adopt Apache Tika 1.26 mailing-list
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
CVSS评分详情
5.5
MEDIUM
CVSS向量: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVSS版本: 3.1
机密性
NONE
完整性
NONE
可用性
HIGH
时间信息
发布时间:
2020-04-27 13:25:27
修改时间:
2024-08-04 10:26:16
创建时间:
2025-11-11 15:36:30
更新时间:
2025-11-11 15:55:58
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2020-9489 2025-11-11 15:20:43 2025-11-11 07:36:30
NVD nvd_CVE-2020-9489 2025-11-11 14:56:58 2025-11-11 07:44:52
CNNVD cnnvd_CNNVD-202004-2171 2025-11-11 15:10:25 2025-11-11 07:55:58
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:55:58
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202004-2171; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202004-2171
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:44:52
cvss_score: 未提取 → 5.5; cvss_vector: NOT_EXTRACTED → CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H; cvss_version: NOT_EXTRACTED → 3.1; affected_products_count: 1 → 12; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • cvss_score: 未提取 -> 5.5
  • cvss_vector: NOT_EXTRACTED -> CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
  • cvss_version: NOT_EXTRACTED -> 3.1
  • affected_products_count: 1 -> 12
  • data_sources: ['cve'] -> ['cve', 'nvd']