Apache Tika обнаружена критическая уязвимость, которая приводи | SecAtor

Apache Tika обнаружена критическая уязвимость, которая приводит к атаке с внедрением внешней сущности XML (XXE).

CVE-2025-66516 имеет рейтинг 10,0 и затрагивает модули Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) и tika-parsers (1.13-1.28.5) на всех платформах, позволяя выполнить внедрение внешней сущности XML с помощью специально созданного файла XFA внутри PDF-файла.

Это влияет на следующие пакеты Maven:
- org.apache.tika:tika-core >= 1.13, <= 3.2.1 (исправлено в версии 3.2.2)
- org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (исправлено в версии 3.2.2)
- org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (исправлено в версии 2.0.0)

При этом CVE-2025-66516 коррелирует с другой уязвимостью CVE-2025-54988 (CVSS: 8,4).

Это еще одна XXE-уязвимость в фреймворке обнаружения и анализа контента, которая была исправлена разработчиками проекта в августе 2025 года.

По словам команды Apache Tika, новая уязвимость CVE расширяет область действия уязвимых пакетов двумя способами.

Во-первых, точкой входа для уязвимости был модуль tika-parser-pdf-module, как указано в CVE-2025-54988, уязвимость и её исправление находились в модуле tika-core.

Пользователи, обновившие модуль tika-parser-pdf-module, но не обновившие tika-core до версии 3.2.2 и выше, всё равно уязвимы.

Во-вторых, в исходном отчёте не упоминалось, что в версиях Tika 1.x PDFParser находился в модуле org.apache.tika:tika-parsers.

Учитывая критичность уязвимости, пользователям рекомендуется как можно скорее установить обновления, чтобы снизить риски потенциальных угроз.