Apache Tika’da, XML harici varlık (XXE) enjeksiyon saldırısıyla sonuçlanabilecek kritik bir güvenlik açığı açıklandı.
Şu şekilde izlenen güvenlik açığı: CVE-2025-66516CVSS puanlama ölçeğinde maksimum ciddiyeti gösteren 10,0 olarak derecelendirilmiştir.
Güvenlik açığına ilişkin bir danışma belgesine göre, “Tüm platformlardaki Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) ve tika-parsers (1.13-1.28.5) modüllerindeki kritik XXE, bir saldırganın PDF’nin içindeki hazırlanmış bir XFA dosyası aracılığıyla XML Harici Varlık enjeksiyonu gerçekleştirmesine olanak tanıyor.”
Aşağıdaki Maven paketlerini etkiler –
- org.Apache.tika:tika-core >= 1.13, <= 3.2.1 (3.2.2 sürümünde yamalı)
- org.Apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (3.2.2 sürümünde yamalı)
- org.Apache.tika:tika-parsers >= 1.13, < 2.0.0 (Sürüm 2.0.0'da yamalı)
XXE enjeksiyonu, bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine olanak tanıyan bir web güvenlik açığını ifade eder. Bu da uygulama sunucusu dosya sistemindeki dosyalara erişmeyi ve hatta bazı durumlarda uzaktan kod yürütmeyi mümkün kılar.
CVE-2025-66516’nın, Ağustos 2025’te proje yöneticileri tarafından yamalanan içerik algılama ve analiz çerçevesindeki başka bir XXE kusuru olan CVE-2025-54988 (CVSS puanı: 8,4) ile aynı olduğu değerlendiriliyor. Apache Tika ekibi, yeni CVE’nin etkilenen paketlerin kapsamını iki şekilde genişlettiğini söyledi.
Ekip, “İlk olarak, güvenlik açığının giriş noktası CVE-2025-54988’de bildirildiği gibi tika-parser-pdf-modülü iken, güvenlik açığı ve düzeltmesi tika-core’daydı” dedi. “Tika-parser-pdf-module’ü yükselten ancak tika-core’u >= 3.2.2’ye yükseltmeyen kullanıcılar yine de savunmasız olacaktır.”
“İkincisi, orijinal raporda 1.x Tika sürümlerinde PDFParser’ın “org.Apache.tika:tika-parsers” modülünde olduğundan bahsedilmemişti.”
Güvenlik açığının kritikliği göz önüne alındığında, kullanıcıların olası tehditleri azaltmak için güncellemeleri mümkün olan en kısa sürede uygulamaları önerilir.