Критически опасная XXE-уязвимость, обнаруженная в Apache Tika: системы необходимо срочно обновить

В платформе Apache Tika обнаружена новая, крайне опасная уязвимость. Ошибка зарегистрирована под кодом CVE-2025-66516 и получила максимальную оценку по шкале CVSS — 10.0 баллов. Данная уязвимость позволяет злоумышленнику, используя специально сформированный PDF-файл, получить доступ к системе и с помощью XML External Entity (XXE) внедрения похищать данные с сервера.

Как работает уязвимость?

Злоумышленник встраивает вредоносный XFA (XML Forms Architecture) файл внутрь PDF-документа. При анализе такого PDF Apache Tika обрабатывает вредоносный XML и это может привести к:

  • чтению конфиденциальных файлов на сервере,
  • доступу к внутренним каталогам системы,
  • в отдельных случаях — удалённому выполнению кода (RCE).

Какие версии уязвимы?

Уязвимость присутствует в следующих компонентах Apache Tika:

  • tika-core: версии 1.13 – 3.2.1 (ошибка исправлена в 3.2.2)
  • tika-parser-pdf-module: версии 2.0.0 – 3.2.1 (исправлено в 3.2.2)
  • tika-parsers (1.x): версии 1.13 – 1.28.5 (исправлено в 2.0.0)

Важно отметить: некоторые пользователи могли обновить только PDF-парсер модуль. Однако корень проблемы находится именно в модуле tika-core, поэтому его не обновление оставляет систему уязвимой.

Почему эта уязвимость настолько опасна?

  • Активируется при загрузке обычного PDF-документа.
  • Apache Tika во многих системах работает в автоматическом фоновом режиме.
  • XXE-уязвимость позволяет похищать конфиденциальные файлы, конфигурации и системные данные.
  • Tika широко используется в больших инфраструктурах — системах документооборота, индексирования, ИИ-сервисах и поисковых движках.

Таким образом, небольшая ошибка способна поставить под угрозу безопасность всей инфраструктуры.

Что необходимо сделать?

Команда Apache Tika настоятельно рекомендует незамедлительно обновиться до следующих версий:

  • tika-core: 3.2.2
  • tika-parser-pdf-module: 3.2.2
  • tika-parsers (1.x): 2.0.0

Если в организации используются системы автоматической обработки документов, риск значительно возрастает. Поэтому важно провести полную проверку серверов и сервисов.

CVE-2025-66516 — одна из самых опасных уязвимостей, обнаруженных в Apache Tika.
Загруженный PDF-файл может привести к серьёзным последствиям: утечке данных, обходу механизмов безопасности и нарушению работы инфраструктуры.
Своевременное обновление и усиление мер защиты — лучший способ предотвратить возможные атаки.