بنیاد نرمافزاری آپاچی (ASF) یک آسیبپذیری امنیتی بحرانی جدید برای Apache Tika منتشر کرده است؛ زیرا پچ امنیتی قبلی نتوانسته بود دامنه کامل آسیبپذیری را پوشش دهد و بسیاری از کاربران حتی بعد از پچ همچنان بهطور ناخواسته در معرض خطر باقی ماندهاند.
آسیبپذیری جدید با شناسه CVE-2025-66516 و امتیاز CVSS: 10 منتشر شده و جایگزین CVE-2025-54988 است؛ یک نقص امنیتی از نوع XML External Entity Injection (XXE) که در اوت ۲۰۲۵ اعلام شد و در آن زمان گفته میشد Apache Tika نسخههای 1.13 تا 3.2.1 را تحت تأثیر قرار میدهد.
اما بررسیهای جدید نشان دادهاند که بردار حمله گستردهتر است و ماژولهای بیشتری نسبت به اعلام اولیه دچار آسیبپذیری بودهاند.
باقی ماندن آسیبپذیری حتی پس از پچ
ASF اعلام کرده است:
«کاربرانی که فقط ماژول tika-parser-pdf-module را ارتقا دادهاند اما tika-core را به نسخه ۳.۲.۲ یا بالاتر بهروزرسانی نکردهاند، همچنان آسیبپذیر هستند.»
Apache Tika یک ابزار متنباز برای استخراج متن و متاداده از صدها نوع فایل از جمله PDF، Word، Excel، PowerPoint و بسیاری فرمتهای دیگر است. این ابزار در موتورهای جستجو، ترجمه خودکار، سیستمهای مدیریت محتوا و حتی ورودی داده برای مدلهای هوش مصنوعی استفاده میشود.
در زمان انتشار CVE-2025-54988، این آسیبپذیری بهصورت زیر توصیف شده بود:
امکان تزریق XXE با یک فایل PDF دستکاریشده که شامل XFA است
امکان خواندن اطلاعات حساس
ایجاد حملات DoS
برقراری اتصال غیرمجاز به سرویسهای داخلی و سیستمهای ثالث
ASF هشدار داده بود که این نقص در tika-parser-pdf-module قرار دارد و از آن در بستههای زیر نیز استفاده میشود:
tika-parsers-standard-modules
tika-parsers-standard-package
tika-app
tika-grpc
tika-server-standard
دلایل انتشار CVE جدید
ASF دو دلیل کلیدی برای جایگزینی آسیبپذیری قبلی مطرح کرده است:
۱. نقص اصلی در ماژول tika-core بوده، نه فقط PDF parser
در مشاوره قبلی گفته شده بود مشکل از «PDF Parser module» است؛ اما در واقع آسیبپذیری در tika-core قرار داشته.
بنابراین:
کاربرانی که فقط PDF parser را پچ کردهاند
اما tika-core را آپدیت نکردهاند
هنوز در معرض حمله هستند.
۲. در نسخههای قدیمیتر، PDF Parser بخشی از یک ماژول دیگر بوده است
در نسخههای 1.x:
PDF Parser داخل ماژول org.apache.tika:tika-parsers بوده
و یک ماژول جداگانه مثل نسخههای ۲ و ۳ نبوده
یعنی کاربران نسخههای قدیمیتر اصلاً نمیدانستند کدام بخش را باید پچ کنند.
دامنه کامل آسیبپذیری
براساس مشاوره جدید ASF، آسیبپذیری CVE-2025-66516 این موارد را تحت تأثیر قرار میدهد:
تحت تأثیر:
Tika Core نسخههای 1.13 تا 3.2.1
Tika Parsers نسخههای 1.13 تا 3.2.1
Tika PDF Module نسخههای:
1.13 تا قبل از 2.0.0
2.0.0 تا 3.2.1
وصله رفع مشکل در:
Tika Core نسخه 3.2.2 و بالاتر
ASF تصریح کرده است:
«آپدیت PDF module بهتنهایی کافی نیست و لزوماً سیستم را ایمن نمیکند.»
پیامدهای گسترده در سازمانها
این نقص نمونهای روشن از مخاطرات کتابخانههای زیرساختی عمیقاً وابسته است؛ جایی که:
دهها سرویس از یک ماژول استفاده میکنند
یک وابستگی Transitively میتواند دهها محصول دیگر را آلوده کند
این باعث میشود:
ریسک واقعی بسیار فراتر از خود Apache Tika باشد
کل زنجیره نرمافزار سازمان در معرض خطر قرار گیرد
حتی سیستمهایی که تصور میکردند وصله را نصب کردهاند، ناخواسته آسیبپذیر بمانند
به همین دلیل متخصصان امنیتی توصیه میکنند:
نگهداری SBOM یا لیست موجودی کامل اجزای نرمافزاری
استفاده از ابزارهای اسکن خودکار وابستگیها
پایش پیاپی ماژولهای زیرساختی مانند Tika، Log4j، OpenSSL
جمعبندی
نقص امنیتی CVE-2025-66516 یک نمونه بارز از اهمیت تشخیص دقیق محل آسیبپذیری در معماری نرمافزار است. توصیه اکید ASF:
حتماً Tika Core را به نسخه ۳.۲.۲ یا جدیدتر ارتقا دهید
تنها بهروزرسانی PDF parser کافی نیست.
