Một lỗ hổng bảo mật nghiêm trọng với điểm CVSS tuyệt đối 10.0 vừa được công bố trong Apache Tika, công cụ phổ biến dùng để phân tích và phát hiện nội dung ứng dụng. Lỗ hổng, được định danh là CVE-2025-66516, cho phép kẻ tấn công thực hiện tấn công XML External Entity (XXE) injection, đe dọa trực tiếp đến tính bảo mật của hệ thống file và khả năng RCE.
Lỗ hổng này là một trường hợp XXE injection có mức độ nghiêm trọng tối đa, ảnh hưởng đến các module cốt lõi của Apache Tika bao gồm tika-core, tika-parser-pdf-module và tika-parsers. Theo cảnh báo, kẻ tấn công có thể khai thác lỗ hổng bằng cách chế tạo một tệp XFA độc hại và nhúng nó vào bên trong một file PDF. Khi ứng dụng sử dụng Tika để xử lý file này, script độc hại sẽ được thực thi.
Khai thác thành công tấn công XXE injection cho phép kẻ tấn công can thiệp vào quá trình xử lý dữ liệu XML của ứng dụng. Điều này không chỉ mở đường cho việc truy cập trái phép vào các tệp tin trên hệ thống file của máy chủ ứng dụng mà trong một số trường hợp, còn có thể dẫn đến RCE. Mối đe dọa này đặc biệt nghiêm trọng với các tổ chức sử dụng Apache Tika để xử lý các tài liệu tải lên.
Đội ngũ Apache Tika cho biết CVE-2025-66516 về bản chất là việc mở rộng phạm vi của lỗ hổng XXE đã được vá trước đó là CVE-2025-54988. Sự mở rộng này nhằm khắc phục hai điểm mù: thứ nhất, lỗi thực sự nằm ở module tika-core chứ không chỉ tika-parser-pdf-module; và thứ hai, các phiên bản Tika 1.x cũng bị ảnh hưởng vì PDFParser nằm trong module tika-parsers.
Để bảo vệ hệ thống khỏi mối đe dọa chí mạng này, người dùng đang sử dụng các phiên bản bị ảnh hưởng từ 1.13 đến 3.2.1 được khuyến nghị nâng cấp ngay lập tức lên các phiên bản đã vá: tika-core và tika-parser-pdf-module lên phiên bản 3.2.2 hoặc mới hơn, và tika-parsers lên phiên bản 2.0.0 hoặc mới hơn. Việc cập nhật là cách duy nhất để giảm thiểu rủi ro tấn công.
