Apache Tika belge işleme çerçevesinde açıklanan bir güvenlik sorununun ilk inanıldığından daha geniş ve ciddi olduğu ortaya çıktı. Projenin geliştiricileri, daha önce tek bir PDF işleme bileşeniyle sınırlı olduğu düşünülen bir kusurun birkaç Tika modülüne yayıldığını ve ilk kez 2025 ortasında duyurulan bir güvenlik açığının kapsamını genişlettiğini ortaya koyan yeni bir öneri yayınladı.
CVE-2025-54988’in İlk Açıklaması ve Sınırları
CVE-2025-54988 olarak listelenen ve Ağustos ayında 8.4 önem derecesiyle yayınlanan orijinal kusurun, Apache Tika’da 1.13’ten 3.2.1’e kadar olan sürümlerdeki PDF’leri işlemek için kullanılan tika-parser-pdf-module’den kaynaklandığı belirlendi. 1.000’den fazla özel dosya formatından içerik çıkarmak ve standartlaştırmak için tasarlanmış bir araç olan Tika, uzun süredir karmaşık belge formatlarını ayrıştıran yazılımlarda yinelenen bir risk olan XML Harici Varlık (XXE) enjeksiyonunu içeren saldırıların hedefi olmuştur.
Orijinal CVE açıklamasına göre bu zayıflık, saldırganların kötü amaçlı bir PDF’nin içindeki XML Form Mimarisi (XFA) talimatlarını gizlemesine olanak tanıyordu. Bu talimatlar işlendiğinde, bir XXE enjeksiyon saldırısına olanak tanıyarak, potansiyel olarak bir saldırganın “hassas verileri okumasına veya dahili kaynaklara veya üçüncü taraf sunuculara yönelik kötü amaçlı istekleri tetiklemesine” olanak tanıyabilir.
Güvenlik açığı aynı zamanda Tika’nın kendi işleme hattı üzerinden verilerin sızdırıldığına dair herhangi bir dış belirti olmaksızın veri sızmasına yönelik bir yol da oluşturdu.
Yeni CVE Etkilenen Bileşenleri ve Önem Derecesini Genişletiyor
Proje yöneticileri artık PDF ayrıştırıcının savunmasız tek giriş noktası olmadığını bildiriyor. 4 Aralık 2025’te Tim Allison tarafından Tika posta listesinde yayınlanan yeni bir öneri, sorunun ek bileşenleri etkilediğini doğruluyor. Yeni açıklanan ve maksimum 10,0 önem derecesine sahip CVE-2025-66516, kapsamı aşağıdakileri içerecek şekilde genişletiyor:
- Apache Tika çekirdeği (tika çekirdeği) sürümleri 1.13’ten 3.2.1’e kadar
- Apache Tika ayrıştırıcıları (tika ayrıştırıcıları) 1.13’ten 1.28.5’e kadar sürümler
- Apache Tika PDF ayrıştırıcı modülü (tika-parser-pdf-module) sürümleri 2.0.0 ila 3.2.1
Bakımcılar ikinci bir CVE yayınlamanın iki nedenini belirtiyorlar. İlk olarak, güvenlik açığı PDF ayrıştırıcı aracılığıyla tespit edilmiş olsa da, temeldeki kusur ve düzeltmesi tika-core’da bulunuyordu. Bu, ilk açıklamadan sonra yalnızca PDF ayrıştırıcısını güncelleyen ancak Tika çekirdeğini 3.2.2 veya sonraki bir sürüme güncellemeyen kullanıcıların açıkta kalacağı anlamına gelir.
İkincisi, önceki Tika sürümleri, savunmasız olmasına rağmen ilk CVE’ye dahil edilmeyen PDFParser sınıfını tika-parsers modülü içinde barındırıyordu. Tavsiye belgesinde, CVE-2025-66516’nın “CVE-2025-54988 ile aynı güvenlik açığını kapsadığı” ancak kullanıcıların riskin tüm boyutunu anlamalarını sağlamak için etkilenen paketlerin listesini genişlettiği belirtiliyor.
Etki, Kullanım Riski ve Önerilen Azaltma Yöntemi
Aralık başı itibarıyla bakımUzmanlar, saldırganların gerçek dünyadaki kampanyalardaki zayıflıktan yararlandığına dair hiçbir kanıtları olmadığını söylüyor. Yine de hızlı kullanım potansiyeli yüksek olmaya devam ediyor, özellikle de kavram kanıtları veya geri dönüşler söz konusu olduğundaSe-mühendisliğiyle tasarlanmış saldırı örnekleri dolaşmaya başlıyor.
yaniGüvenlik açığını ortadan kaldırmak için kullanıcılara aşağıdakilere güncelleme yapmaları talimatı verilir:
- düz çekirdekli 3.2.2
- tika-ayrıştırıcı-pdf-modülü 3.2.2
- tika-parsers 2.0.0 (eski kullanıcılar için)
Bakımcılar, Apache Tika’nın dolaylı olarak kullanıldığı veya diğer uygulamalara gömülü olduğu ortamlarda yama uygulamasının yetersiz olabileceği konusunda uyarıyor. Varlığı her zaman açıkça belgelenmiyor ve geliştiriciler için kör noktalar yaratıyor. Uyarı belgesinde, Tika-config.xml aracılığıyla XML ayrıştırmayı devre dışı bırakmanın, Tika’nın nerede çalışıyor olabileceğinden emin olmayan ekipler için tek çözüm olduğu belirtiliyor.