Apache Tika’da, saldırganların özel hazırlanmış PDF dosyalarını yükleyerek sistemlerin güvenliğini aşmasına olanak tanıyan kritik bir güvenlik açığı keşfedildi. Dünya çapındaki kuruluşların derhal yama yapması isteniyor.
Apache Tika, binlerce kuruluş tarafından PDF’ler, Word dosyaları ve resimler de dahil olmak üzere belgelerden metin ve meta veriler çıkarmak için kullanılan popüler bir açık kaynaklı araç setidir.
Apache araştırmacıları, saldırganların PDF dosyalarının içine kötü amaçlı kod yerleştirerek yararlanabileceği kritik bir kusur tespit etti.
Tehdidi Anlamak
Güvenlik açığı, XML Harici Varlık (XXE) ekleme hatasından kaynaklanıyor. Saldırganlar, Tika bunları işlediğinde güvenlik açığını tetikleyen, hazırlanmış XFA (XML Form Mimarisi) dosyalarını içeren PDF belgeleri oluşturur.
Bu, saldırganların rastgele kod yürütmesine, hassas bilgileri çalmasına veya sistemlere yetkisiz erişim elde etmesine olanak tanır.
Güvenlik açığı, tüm işletim sistemlerindeki üç Apache Tika bileşenini etkiliyor:
| Alan | Değer |
|---|---|
| CVE Kimliği | CVE-2025-66516 |
| CVSS Puanı | 9.8 (Kritik) |
| Güvenlik Açığı Türü | XML Harici Varlık (XXE) Enjeksiyonu |
| Saldırı Vektörü | PDF belgelerine gömülü kötü amaçlı XFA dosyaları |
| Etkilenen Platformlar | Hepsi (Windows, Linux, macOS) |
Tika-core: 1.13’ten 3.2.1’e kadar olan sürümler savunmasızdır. Bu asıl kusuru içeren çekirdek kütüphanedir.
Tika ayrıştırıcıları: 2.0.0’dan önceki 1.13 sürümleri etkilenir. Bu eski modül, PDF ayrıştırıcı işlevini içeriyordu.
Tika PDF ayrıştırıcı modülü: 2.0.0’dan 3.2.1’e kadar olan sürümler savunmasızdır. Bu daha yeni özel PDF bileşenidir. Bu güvenlik açığı, kritik açılardan orijinal CVE-2025-54988’in ötesine geçiyor.
Birincisi, güvenlik açığı PDF ayrıştırıcı modülüyle ilgili gibi görünse de asıl kusur Tika-core’da yatıyor. Tika-core’u yükseltmeden yalnızca PDF ayrıştırıcısını güncelleyen kuruluşlar saldırılara karşı savunmasız kalır.
İkincisi, orijinal rapor, eski Tika 1.x sürümlerinin PDF ayrıştırıcısını ayrı bir bileşen yerine “tika-parsers” modülünde paketlediğini gözden kaçırıyordu.
Bu, kullanıcılar sorunu çözdüklerine inansalar bile eski sistemlerin savunmasız olabileceği anlamına geliyor. Acil eylem gereklidir: Tika-core’u 3.2.2 veya sonraki bir sürüme yükseltin. Bu tek güncelleme, tüm bileşenlerdeki güvenlik açığını giderir.
Apache, eski 1.x sürümlerini kullanan kuruluşlara, yamalı sürümler için hemen yazılım satıcınızla iletişime geçmelerini önerir. Otomatik güncellemeleri beklemeyin.
Geçici azaltma: Yama işlemi tamamlanana kadar güvenilmeyen harici kaynaklardan PDF dosyası yüklemelerini kısıtlayın.
Hassas belgeleri, mali kayıtları, yasal belgeleri ve kişisel verileri işleyen kuruluşlar bu güvenlik açığı nedeniyle yüksek riskle karşı karşıyadır.
Apache Tika bakımcıları düzeltmeler yayınladı ancak dağıtım kritik olmaya devam ediyor. Güvenlik ekipleri, güvenlik açığı yönetimi süreçlerinde bu yamaya öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
