Apache bakımcıları tarafından yayınlanan bir güvenlik tavsiyesine göre, Apache Tika’da yeni açıklanan kritik bir güvenlik açığı, saldırganların yalnızca kötü amaçlı bir PDF dosyası yükleyerek sunucuları tehlikeye atmasına olanak tanıyabilir.
CVE-2025-66516 olarak izlenen kusur, Apache Tika çekirdeğini, Apache Tika ayrıştırıcılarını ve Apache Tika PDF ayrıştırıcı modülünü etkiliyor.
| CVE Kimliği | Şiddet | Güvenlik Açığı Türü | Etkilenen Bileşen | Etkilenen Sürümler |
|---|---|---|---|---|
| CVE-2025-66516 | Kritik | XML Harici Varlık (XXE) Enjeksiyonu | Apache Tika Core, Ayrıştırıcılar, PDF Modülü | Tika Core 1.13-3.2.1, Tika Ayrıştırıcılar 1.13-1.28.5, PDF Modülü 2.0.0-3.2.1 |
Güvenlik açığı kritik olarak derecelendirildi ve içerik analizi, arama ve belge işleme hatlarına yaygın olarak yerleştirilmiş çok çeşitli sürümleri etkiliyor.
Sorun, Apache Tika’nın PDF dosyalarına gömülü XFA (XML Form Mimarisi) içeriğini işlemesindeki XML Harici Varlık (XXE) ekleme hatasından kaynaklanıyor.
Kötü amaçlı bir XFA bileşeni içeren hazırlanmış bir PDF işlendiğinde Tika, harici XML varlıklarını değerlendirerek bir saldırganın Tika’nın çalıştığı sunucudaki yerel dosyalara, dahili ağ kaynaklarına veya diğer hassas verilere erişmesine olanak tanıyabilir.
Apache tavsiyesine göre aşağıdaki sürümler etkilenmektedir:
- Apache Tika çekirdeği (org. Apache Apache.tika:tika-core) 1.13’ten 3.2.1’e kadar sürümler
- Apache Tika ayrıştırıcıları (org. Apache Apache.tika:tika-parsers) 1.13’ten 2.0.0’a kadar
- Apache Tika PDF ayrıştırıcı modülü (org. Apache Apache.tika:tika-parser-pdf-module) 2.0.0’dan 3.2.1’e
Güvenlik açığı daha önce bildirilen bir sorun olan CVE-2025-54988 ile yakından ilişkilidir, ancak CVE-2025-66516, etkilenen yapıların kapsamını genişletmektedir.
Orijinal rapor giriş noktası olarak PDF ayrıştırıcı modülüne odaklanırken ApacheApache, temel nedenin ve düzeltmenin Tika çekirdeğinde bulunduğunu açıkladı.
Bu, yalnızca PDF ayrıştırıcı modülünü güncelleyen ancak tika-core’u güvenli bir sürüme (en az 3.2.2) yükseltmeyen kuruluşların yine de saldırıya maruz kalabileceği anlamına gelir.
Ayrıca yeni CVE, eski 1.x Tika sürümlerinde PDF ayrıştırıcının genel tika-parsers modülünün içinde paketlendiğini belirtiyor.
Bu önceki paketler, ilk danışma belgesinde açıkça belirtilmemişti; bu da bazı dağıtımların potansiyel olarak bu risklerden habersiz kalmasına neden oldu.
Gerçek dünya ortamlarında Apache Tika sıklıkla dosya yükleme iş akışlarına, arama indeksleme sistemlerine, veri alma ardışık düzenlerine ve belgelerden içeriği otomatik olarak ayrıştırıp çıkaran güvenlik araçlarına entegre edilir.
Bu tür kurulumlarda, bir saldırgan özel hazırlanmış bir PDF yükleyebilir veya gönderebilir, güvenlik açığı bulunan ayrıştırma mantığını tetikleyebilir ve sırları sızdırmak veya dahili altyapıya daha fazla yön vermek için XXE’den yararlanabilir.
Apache Tika’yı kullanan yöneticiler ve geliştiricilerin şunları yapması tavsiye edilir:
- Uygulamalarının etkilenen tika-core, tika-parser veya tika-parser-pdf-module sürümlerine bağlı olup olmadığını belirleyin.
- Tika-core’u 3.2.2 veya sonraki bir sürüme yükseltin ve ilgili tüm Tika bileşenlerinin tutarlı bir şekilde güncellendiğinden emin olun.
- Güvenilmeyen PDF’leri, özellikle de halka açık yükleme uç noktalarını işleyen tüm sistemleri inceleyin ve ek sağlamlaştırma ve giriş doğrulamayı göz önünde bulundurun.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.