Популярный фреймворк для извлечения контента Apache Tika подвержен критической уязвимости, получившей идентификатор CVE-2025-66516. Данной проблеме безопасности присвоен максимально возможный рейтинг серьезности — 10.0 баллов по шкале CVSS. Угроза актуальна для всех платформ, использующих уязвимые версии программного обеспечения, и требует немедленного вмешательства администраторов систем.
Суть проблемы заключается в возможности внедрения внешних XML-сущностей (XML External Entity, XXE). Вектор атаки предполагает использование специально созданного файла XFA, встроенного внутрь документа формата PDF. Механизм эксплуатации позволяет злоумышленникам вмешиваться в процесс обработки XML-данных приложением, обходя стандартные процедуры безопасности.
Успешная реализация атаки может привести к катастрофическим последствиям для целевой системы. Злоумышленники могут получить несанкционированный доступ к файлам в файловой системе сервера приложений. Более того, существует вероятность достижения удаленного выполнения кода (Remote Code Execution — RCE), что дает атакующему полный контроль над скомпрометированным сервером.
Данная уязвимость является расширением ранее обнаруженной проблемы CVE-2025-54988, которая была закрыта в августе 2025 года и имела рейтинг CVSS 8.4. Выпуск нового идентификатора CVE-2025-66516 обусловлен расширением области действия угрозы. Первоначальный отчет не учитывал, что фактическая уязвимость находилась в модуле
Кроме того, предыдущий анализ упустил из виду старые версии программного обеспечения. В релизах ветки 1.x компонент PDFParser располагался в модуле
Основной затронутый компонент — это пакет
Второй пострадавший компонент — модуль
Третья группа риска касается устаревших сборок ветки 1.x, объединенных в пакете
Учитывая критичность недостатка и простоту вектора атаки через популярный формат файлов, пользователям настоятельно рекомендуется применить обновления как можно скорее. Единственным действенным способом снижения потенциальных угроз является немедленная установка исправленных версий всех затронутых модулей.
Изображение носит иллюстративный характер
Суть проблемы заключается в возможности внедрения внешних XML-сущностей (XML External Entity, XXE). Вектор атаки предполагает использование специально созданного файла XFA, встроенного внутрь документа формата PDF. Механизм эксплуатации позволяет злоумышленникам вмешиваться в процесс обработки XML-данных приложением, обходя стандартные процедуры безопасности.
Успешная реализация атаки может привести к катастрофическим последствиям для целевой системы. Злоумышленники могут получить несанкционированный доступ к файлам в файловой системе сервера приложений. Более того, существует вероятность достижения удаленного выполнения кода (Remote Code Execution — RCE), что дает атакующему полный контроль над скомпрометированным сервером.
Данная уязвимость является расширением ранее обнаруженной проблемы CVE-2025-54988, которая была закрыта в августе 2025 года и имела рейтинг CVSS 8.4. Выпуск нового идентификатора CVE-2025-66516 обусловлен расширением области действия угрозы. Первоначальный отчет не учитывал, что фактическая уязвимость находилась в модуле
tika-core, а не только в tika-parser-pdf-module. Пользователи, обновившие только PDF-модуль, но не обновившие базовое ядро, оставались незащищенными. Кроме того, предыдущий анализ упустил из виду старые версии программного обеспечения. В релизах ветки 1.x компонент PDFParser располагался в модуле
org.apache.tika:tika-parsers. Это упущение оставило значительное количество устаревших систем уязвимыми для атак, несмотря на ранее выпущенные рекомендации по безопасности. Основной затронутый компонент — это пакет
apache.tika:tika-core. Уязвимости подвержены версии начиная с 1.13 и заканчивая 3.2.1 включительно. Для устранения угрозы необходимо обновить этот компонент до исправленной версии 3.2.2. Именно в ядре системы содержалась ошибка, позволяющая проводить XXE-атаки через некорректную обработку данных. Второй пострадавший компонент — модуль
org.apache.tika:tika-parser-pdf-module. Проблема затрагивает версии от 2.0.0 до 3.2.1. Как и в случае с ядром, безопасной версией является патч 3.2.2. Обновление только этого модуля без обновления ядра не гарантирует полной защиты системы от эксплуатации уязвимости. Третья группа риска касается устаревших сборок ветки 1.x, объединенных в пакете
org.apache.tika:tika-parsers. Уязвимость распространяется на версии от 1.13 до версий ниже 2.0.0 (конкретный диапазон указан как 1.13–1.28.5). Пользователям, использующим эти версии, необходимо перейти на релиз 2.0.0 или более новые варианты, где архитектура безопасности была пересмотрена. Учитывая критичность недостатка и простоту вектора атаки через популярный формат файлов, пользователям настоятельно рекомендуется применить обновления как можно скорее. Единственным действенным способом снижения потенциальных угроз является немедленная установка исправленных версий всех затронутых модулей.
