Krytyczna podatność w Apache Tika
CSIRT CeZ ostrzega: wykryto krytyczną podatność w Apache Tika, która umożliwia atak typu XXE (XML External Entity Injection) poprzez spreparowany plik PDF. Ten plik zawiera formularze XFA (XML Forms Architecture). Podatność występuje na wszystkich platformach i może prowadzić do ujawnienia poufnych danych lub wykonania nieautoryzowanych operacji.
Charakterystyka podatności
- Oznaczenie: CVE-2025-66516
- Score CVSS: 10,0 (Critical)
Jak działa podatność?
Mechanizm parsowania plików PDF w Apache Tika obsługuje XFA, co pozwala na wstrzyknięcie zewnętrznych encji XML. Atakujący może przygotować złośliwy plik PDF, który po przetworzeniu przez Tika umożliwia odczyt lokalnych plików lub dostęp do zasobów sieciowych.
Podatne systemy
- Apache Tika Core (org.apache.tika:tika-core) w wersjach 1.13 – 3.2.1
- Apache Tika Parsers (org.apache.tika:tika-parsers) w wersjach 1.13 – 1.28.5
- Apache Tika PDF Parser Module (org.apache.tika:tika-parser-pdf-module) w wersjach 2.0.0 – 3.2.1
Działania zapobiegawcze
- Zaktualizuj tika-core do wersji 3.2.2 lub nowszej.
- Jeśli używasz starszych wersji (1.x), rozważ migrację do najnowszej stabilnej wersji.
- Dodaj dodatkowe mechanizmy kontroli XXE (np. wyłączenie obsługi zewnętrznych encji w parserach XML).
Dlaczego to ważne?
Apache Tika jest często wykorzystywana w systemach indeksowania, wyszukiwania i analizy dokumentów. Atak XXE może prowadzić do poważnych naruszeń bezpieczeństwa w aplikacjach przetwarzających pliki PDF, w tym w:
- Systemach wyszukiwania treści (np. SOLR, Elasticsearch)
- Aplikacjach do analizy dokumentów (OCR, klasyfikacja)
- Usługach przetwarzania plików w chmurze (API konwertujące PDF na tekst)
- Systemach archiwizacji i migracji danych