Az Apache Tika nyílt forráskódú tartalomelemző eszközben kritikus súlyosságú sérülékenységet azonosítottak, amely lehetővé teheti a támadók számára az XML External Entity (XXE) injektálást.
Az Apache Tika univerzális parserként működik, és gyakorlatilag minden fájltípusból képes információkat kinyerni. Emiatt széles körben alkalmazzák keresőmotorok, tartalomkezelő rendszerek és különféle adatfeldolgozó megoldások részeként.
A kritikus sebezhetőséget a CVE-2025-66516 azonosítón követik nyomon, CVSS pontszáma 10.0, és a tika-core, tika-pdf-module, illetve a tika-parsers modulokat érinti.
A sérülékenység speciálisan kialakított XFA állományt tartalmazó PDF fájlokkal aktiválható, minden támogatott platformon. Az XXE-injektálás sikeres kihasználása információszivárgáshoz, SSRF-támadásokhoz, szolgáltatásmegtagadáshoz (DoS) vagy akár távoli kódfuttatáshoz (RCE) is vezethet.
A sérülékenység a korábban publikált CVE-2025-54988 sebezhetőség kiterjesztése. Bár az eredeti sérülékenység a tika-core modult érintette, a támadási felületet a tika-parser-pdf-module biztosította, ezért a teljes védelem érdekében mindkét csomag frissítése szükséges. Emellett fontos kiemelni, hogy az első jelentés nem tért ki arra, hogy az 1.x Tika kiadások PDF-parsere a tika-parsers modulban található.
A sebezhetőséget az alábbi verziókban javították:
- tika-core 3.2.2
- tika-parser-pdf-module 3.2.2
- tika-parsers 2.0.0
Mivel az érintett modulok sok más csomag függőségeiként is használatban lehetnek, a felhasználóknak és üzemeltetőknek azonnali frissítés javasolt.