Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong Apache Tika, có thể dẫn đến cuộc tấn công XML external entity (XXE) injection.
Lỗ hổng này, được theo dõi là CVE-2025-66516, được đánh giá 10.0 trên thang điểm CVSS, cho thấy mức độ nghiêm trọng tối đa.
Theo một cảnh báo về lỗ hổng: "Lỗ hổng XXE nghiêm trọng trong các mô-đun tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) và tika-parsers (1.13-1.28.5) của Apache Tika trên tất cả các nền tảng cho phép kẻ tấn công thực hiện XML External Entity injection thông qua một tệp XFA được tạo sẵn bên trong tệp PDF."
Nó ảnh hưởng đến các gói Maven sau:
- org.apache.tika:tika-core >= 1.13, <= 3.2.1 (Đã vá trong phiên bản 3.2.2)
- org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (Đã vá trong phiên bản 3.2.2)
- org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (Đã vá trong phiên bản 2.0.0)
XXE injection là một lỗ hổng bảo mật web cho phép kẻ tấn công can thiệp vào quá trình xử lý dữ liệu XML của ứng dụng. Điều này, đến lượt nó, giúp truy cập các tệp trên hệ thống tệp của máy chủ ứng dụng và, trong một số trường hợp, thậm chí thực hiện remote code execution.
Mở rộng phạm vi ảnh hưởng của CVE
CVE-2025-66516 được đánh giá là tương tự như CVE-2025-54988 (điểm CVSS: 8.4), một lỗ hổng XXE khác trong framework phát hiện và phân tích nội dung đã được các nhà bảo trì dự án vá vào tháng 8 năm 2025. Nhóm Apache Tika cho biết, CVE mới này mở rộng phạm vi các gói bị ảnh hưởng theo hai cách.
Thứ nhất, mặc dù điểm vào của lỗ hổng là mô-đun tika-parser-pdf-module như đã báo cáo trong CVE-2025-54988, lỗ hổng và bản vá của nó nằm trong tika-core," nhóm cho biết. "Người dùng đã nâng cấp tika-parser-pdf-module nhưng không nâng cấp tika-core lên phiên bản >= 3.2.2 vẫn sẽ dễ bị tấn công.
Thứ hai, báo cáo ban đầu đã không đề cập rằng trong các bản phát hành Tika 1.x, PDFParser nằm trong mô-đun "org.apache.tika:tika-parsers".
Trước mức độ nghiêm trọng của lỗ hổng, người dùng được khuyến nghị áp dụng các bản cập nhật càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.
