Vulnerabilitatea critică Apache Tika duce la injectarea XXE

O vulnerabilitate critică în setul de instrumente de analiză open source Apache Tika ar putea permite atacatorilor să efectueze atacuri de injectare XML External Entity (XXE).

Apache Tika funcționează ca un analizor universal capabil să extragă informații din aproape toate tipurile de fișiere, ceea ce îl face o componentă esențială a instrumentelor de indexare și analiză.

Vulnerabilitatea critică, identificată ca CVE-2025-66516 (scor CvSS 10/10), afectează modulele tika-core, tika-pdf-module și tika-parsers ale Apache Tika.

Atacatorii pot exploata vulnerabilitatea prin intermediul fișierelor XFA malițioase și plasate în fișiere PDF, pe toate platformele.

Exploatarea cu succes a vulnerabilităților de tip XXE injection poate duce, de obicei, la divulgarea de informații, atacuri SSRF, denial-of-service (DoS) sau executarea de cod de la distanță (RCE).

Astfel, vulnerabilitatea reprezintă un risc major, având în vedere rolul esențial pe care Apache Tika îl are în cadrul motoarelor de căutare, sistemelor de gestionare a conținutului și instrumentelor de analiză a datelor.

Vulnerabilitatea inițială, CVE-2025-54988 (scor CvSS 8.4/10), afectează tika-core, dar punctul de intrare a fost pachetul tika-parser-pdf-module, necesitând astfel actualizarea ambelor pachete pentru a remedia complet vulnerabilitatea.

Vulnerabilitatea Apache Tika recent dezvăluită a fost remediată în versiunea 3.2.2 a tika-core, versiunea 3.2.2 a tika-parser-pdf-module și versiunea 2.0.0 a tika-parsers.

Modulele afectate sunt utilizate ca dependențe în alte pachete. Utilizatorii sunt sfătuiți să aplice patch-urile cât mai curând posibil.

Sursă: https://www.securityweek.com/critical-apache-tika-vulnerability-leads-to-xxe-injection/