Apache Tika Core Flaw Allows Attackers to Exploit Systems with Malicious PDF Uploads
2025/12/05 gbhackers — Apache メンテナーが公表したのは、Apache Tika に存在する深刻な脆弱性に関するセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者は、悪意の PDF ファイルをアップロードするだけで情報漏洩を引き起こす可能性がある。なお、この脆弱性 CVE-2025-66516 が影響を及ぼす範囲は、Apache Tika コア/Apache Tika パーサ/Apache Tika PDF パーサ・モジュールとなる。
この脆弱性は Critical と評価されており、コンテンツ分析/検索/ドキュメント処理のパイプラインに組み込まれている、広範な Tika バージョンに影響を与える。
PDF ファイルに埋め込まれた XFA (XML フォーム・アーキテクチャ) コンテンツを、Apache Tika が処理する際に、XML 外部エンティティ (XXE) インジェクションの脆弱性がトリガーされる。
| CVE ID | Severity | Vulnerability Type | Affected Component | Affected Versions |
|---|---|---|---|---|
| CVE-2025-66516 | Critical | XML External Entity (XXE) Injection | Apache Tika Core, Parsers, PDF Module | Tika Core 1.13-3.2.1, Tika Parsers 1.13-1.28.5, PDF Module 2.0.0-3.2.1 |
つまり、悪意の XFA コンポーネントを含む細工された PDF の処理において、Tika が外部 XML エンティティを評価する可能性がある。その結果として攻撃者は、Tika 実行サーバ上のローカル・ファイル/内部ネットワーク・リソースなどの機密データにアクセスできるようになる。
Apache のアドバイザリによると、この脆弱性の影響範囲は以下となる。
- Apache Tika core (org.apache.tika:tika-core) from versions 1.13 through 3.2.1
- Apache Tika parsers (org.apache.tika:tika-parsers) from 1.13 before 2.0.0
- Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) from 2.0.0 through 3.2.1
この脆弱性は、以前に報告された脆弱性 CVE-2025-54988 と密接に関連するが、今回の CVE-2025-66516 では影響の範囲が拡大されている。
オリジナルのレポートでは、エントリポイントとして PDF パーサ・モジュールが注目されたが、Apache が明らかにしたのは、Tika コアに根本的な原因が存在することだ。
したがって、PDF パーサ・モジュールのみを更新しても、tika-core バージョン 3.2.2 へとアップグレードしていない組織は、依然として脆弱な可能性がある。
さらに、新しい CVE-2025-66516 のアドバイザリで指摘されたのは、Tika 1.x 系では、PDF パーサが一般的な tika-parsers モジュール内にバンドルされていた点である。
これらの旧パッケージは、当初のアドバイザリで明示的に言及されていなかったため、一部デプロイメントでは脆弱性の存在に気付かない可能性がある。
実環境での Apache Tika は、セキュリティ・ツールと頻繁に統合され、ファイル・アップロード・ワークフロー/検索インデックス・システム/データ取り込みパイプライン/コンテンツの自動抽出と修正などに関与している。
このような環境で、脆弱性 CVE-2025-66516 を悪用する攻撃者は、細工された PDF のアップロードまたは送信により、脆弱な解析ロジックを起動することで XXE をトリガーし、機密情報の窃取や内部インフラの侵害を可能にする。
Apache Tika を利用する管理者および開発者には、次が強く推奨される。
- 信頼できない PDF を処理するシステムを、特に公開アップロード・エンドポイントを見直し、セキュリティ強化と入力検証を検討する。
- 影響を受けるバージョンの tika-core/tika-parsers/tika-parser-pdf-module に、アプリケーションが依存しているかどうかを確認する。
- tika-core をバージョン 3.2.2 以降にアップグレードし、すべての関連する Tika コンポーネントが更新されていることを確認する。
Apache Tika の脆弱性ですが、PDF に含まれる XFA コンテンツの処理時に XXE が発生するところに起因します。本来は外部エンティティを無効化すべき箇所で、Tika が誤って評価してしまうことが原因であり、ローカル・ファイルや内部ネットワークが読まれる危険性が生じます。Tika コア側に根本原因があるため、パーサだけ更新しても安全が確保されないと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Apache での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.