یک ضعف امنیتی بسیار خطرناک در Apache Tika افشا شده که میتواند منجر به حمله XML External Entity (XXE) شود.
این آسیبپذیری با شناسه CVE-2025-66516 ثبت شده و امتیاز ۱۰ از ۱۰ در سیستم امتیازدهی CVSS دارد؛ یعنی در بالاترین سطح شدت ممکن قرار میگیرد.
براساس مشاوره امنیتی منتشرشده:
«این XXE بحرانی در ماژولهای tika-core (نسخههای 1.13 تا 3.2.1)، tika-pdf-module (نسخههای 2.0.0 تا 3.2.1) و tika-parsers (نسخههای 1.13 تا 1.28.5) به مهاجم اجازه میدهد با قرار دادن یک فایل XFA مخرب درون یک PDF، حمله XXE را اجرا کند.»
این آسیبپذیری بر پکیجهای Maven زیر تأثیر میگذارد:
org.apache.tika:tika-core نسخه ≥1.13 تا ≤3.2.1
✔ پچ شده در نسخه 3.2.2org.apache.tika:tika-parser-pdf-module نسخه ≥2.0.0 تا ≤3.2.1
✔ پچ شده در نسخه 3.2.2org.apache.tika:tika-parsers نسخه ≥1.13 تا <2.0.0
✔ پچ شده در نسخه 2.0.0
🔍 XXE چیست و چرا خطرناک است؟
حمله XXE زمانی رخ میدهد که برنامه در پردازش XML اجازه لود شدن entityهای خارجی را میدهد.
در نتیجه مهاجم میتواند:
محتویات فایلهای روی سرور را بخواند
درخواستهای شبکه داخلی را جعل کند
در برخی سناریوها به Remote Code Execution (RCE) برسد
این آسیبپذیری بهشدت خطرناک است، زیرا Apache Tika معمولاً در سرویسهایی استفاده میشود که:
فایلهای کاربران را پردازش میکنند
به سیستمعامل دسترسی سطح بالا دارند
در جریانهای اتومات پردازش محتوا، OCR، تحلیل فایل، و indexing حضور دارند
🔁 ارتباط با آسیبپذیری قبلی CVE-2025-54988
این باگ جدید در واقع نسخه گستردهتر ضعف قبلی یعنی CVE-2025-54988 است که امتیاز CVSS 8.4 داشت.
دو نکته مهم که تیم Apache Tika اعلام کرد:
۱) مسیر ورودی حمله در tika-parser-pdf-module بود؛ اما مشکل اصلی در tika-core قرار داشت.
بنابراین اگر کاربری فقط ماژول PDF را آپدیت کرده باشد (بدون ارتقای tika-core)، همچنان آسیبپذیر است.
۲) در نسخههای 1.x، ماژول PDFParser در پکیج tika-parsers قرار داشت
این مورد در گزارش اولیه ذکر نشده بود.
🚨 توصیه امنیتی Vulnerbyte
با توجه به سطح بحرانی (CVSS 10.0)، تمام کاربران Apache Tika باید فوراً پچها را اعمال کنند:
ارتقا به نسخه 3.2.2 برای tika-core و tika-pdf-module
ارتقا به نسخه 2.0.0 برای tika-parsers
عدم اعمال پچ میتواند منجر به دور زدن امنیت، افشای دادههای حساس، یا حتی اجرای کد روی سرور شود.
