Kritična ranjivost visoke težine u Apache Tika open-source alatu za analizu može omogućiti hakerima da sprovedu XML External Entity (XXE) injekciju.
Apache Tika funkcioniše kao univerzalni parser sposoban da izvuče informacije iz gotovo svih tipova fajlova, što ga čini ključnim dijelom sistema za indeksiranje i analizu podataka.
Ranjivost, zavedena kao CVE-2025-66516 (CVSS 10/10), pogađa tika-core, tika-pdf-module i tika-parsers komponente Apache Tika platforme.
Hakeri mogu da iskoriste propust putem posebno kreiranih XFA fajlova ubačenih u PDF dokumente, i to na svim platformama.
Uspješna XXE injekcija obično može dovesti do curenja informacija, SSRF napada, uskraćivanja usluge (DoS), pa čak i remote code execution (RCE).
Zbog toga ranjivost predstavlja veliki rizik, s obzirom na ključnu ulogu Apache Tika u pretraživačima, sistemima za upravljanje sadržajem i alatima za analizu podataka.
Kako objašnjava Tim Allison, potpredsjednik Apache Tika projekta, CVE-2025-66516 proširuje obim ranije otkrivene ranjivosti CVE-2025-54988 (CVSS 8.4), objavljene u avgustu.
Originalna ranjivost je pogađala tika-core, ali je ulazna tačka bila tika-parser-pdf-module paket, što je značilo da oba paketa moraju biti ažurirana kako bi se greška u potpunosti otklonila.
Dodatno, Allison navodi da prvobitni izvještaj o XXE propustu nije spominjao da se PDF parser u Tika izdanjima 1.x nalazio unutar tika-parsers modula.
Nova ranjivost je ispravljena u tika-core verziji 3.2.2, tika-parser-pdf-module verziji 3.2.2 i tika-parsers verziji 2.0.0.
Pošto se ovi moduli koriste kao zavisnosti u drugim paketima, korisnicima se preporučuje da što prije primijene dostupne zakrpe.
Izvor: SecurityWeek
