Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika
2025/12/15 SecurityAffairs — Atlassian が発表したのは、自社製品に影響を与える数十件の脆弱性への対処が完了したという声明である。これらの脆弱性には、複数の深刻度レベルの問題が含まれている。最も深刻な脆弱性の1 つは、Apache Tika に存在する XML 外部エンティティ (XXE) インジェクション脆弱性 CVE-2025-66516 であり、CVSS スコアは 10.0 と評価されている。この脆弱性 CVE-2025-66516 を悪用する攻撃者は、Apache Tika の core module/PDF module/parser module に対して、XXE インジェクションを仕掛けることが可能になる。攻撃者は、PDF 内に悪意のある XFA ファイルを埋め込み、Tika に外部 XML エンティティを処理させ、機密性の高い内部リソースへのアクセス経路を開かせる可能性がある。
Apache Tika は、あらゆる種類のファイルから、テキスト/メタデータ/構造化情報を抽出するために使用されるオープンソースのコンテンツ分析ツールキットである。そのため Tika は、検索インデックス/ドキュメント取り込みパイプライン (Apache Solr や Elasticsearch)/コンプライアンス・ツール/コンテンツ分析プラットフォームなどで広く利用されている。
Apache のアドバイザリには、「Apache Tika に存在する深刻な XXE の脆弱性を悪用する攻撃者は、PDF 内の細工された XFA ファイルを介して、XML 外部エンティティ (XXE) インジェクションを実行できる。この 脆弱性 CVE-2025-66516 は、以前の脆弱性である CVE-2025-54988 と同じ欠陥をカバーしている。なお、対象となるプラットフォームは、tika-core (1.13–3.2.1)/tika-pdf-module (2.0.0–3.2.1)/tika-parsers (1.13–1.28.5) である」と記されている。
以前の CVE-2025-54988 で報告されていた、この脆弱性のエントリポイントは tika-parser-pdf-module のみであったが、その修正は tika-core に及んでいる。したがって、PDF モジュールのみをアップグレードし、tika-core を 3.2.2 以上にアップグレードしていないユーザーは、依然として脆弱な状況にある。Tika 1.x リリースにおいて、PDFParser が org.apache.tika:tika-parsers モジュール内に存在していた点が、以前のレポートでは言及されていなかった。
XXE インジェクション (XML 外部エンティティ・インジェクション) とは、アプリケーションが XML 入力を安全ではない方法で解析することで、攻撃者による外部エンティティ (ドキュメント外部のファイルや URL を参照する特殊な XML 機能) の読み込みを許す場合に発生する脆弱性である。
この脆弱性は以下のバージョンに影響する。
- Apache Tika コア (org.apache.tika:tika-core) 1.13~3.2.1
- Apache Tika パーサー (org.apache.tika:tika-parsers) 1.13~2.0.0 より前
- Apache Tika PDF パーサー・モジュール (org.apache.tika:tika-parser-pdf-module) 2.0.0~3.2.1
このアドバイザリには、「CVE-2025-66516 は、CVE-2025-54988 と同じ脆弱性をカバーしている。ただし、その影響の範囲は拡大している。まず、CVE-2025-54988 で報告されたように、この脆弱性のエントリポイントは tika-parser-pdf-module であったが、根本的な脆弱性は tika-core にも存在していた。したがって、tika-parser-pdf-module をアップグレードしても、tika-core を 3.2.2 以上にしていないユーザーは依然として脆弱である。それに加えて、Tika 1.x リリースにおいて、PDFParser が org.apache.tika:tika-parsers に含まれていた点が、最初のレポートでは言及されていなかった」と記されている。
今月、Atlassian が修正した重大な脆弱性の一覧には、Confluence/Jira/Jira Service Management におけるプロトタイプ汚染バグに加え、深刻度の高い DoS/XXE/SSRF/ファイル・インクルード/RCE の問題が数十件含まれている。
これらの問題の1つは、CVE-2021-39227 (CVSS スコア 9.8) として追跡されている、Jira Software Data Center/Server における zrender 依存関係のプロトタイプ汚染である。
Atlassian のアドバイザリには、「ZRender は、Apache ECharts 用の 2D 描画機能を提供する軽量グラフィック・ライブラリである。そのバージョン 5.2.1 以下において、”src/core/util.ts” モジュールで “merge/clone” ヘルパーメソッドを使用するとプロトタイプ汚染が発生する状況にあった。したがって、これらの2つのメソッドを使用してエクスポートする Apache ECharts に影響が生じる。この脆弱性は ZRender 5.2.1 で修正済みであるが、PoC エクスプロイトが存在する」と記されている。
回避策として提示されるのは、オブジェクト・キーに含まれる __proto__ を、影響を受けるメソッドに渡す前に除外することである。また、ECharts を使用している場合には、echarts.util.merge および setOption において除外することである。
さらに Atlassian は、webpack loader-utils の parseQuery.js 関数に存在する、name 変数を介した別のプロトタイプ汚染の脆弱性 CVE-2022-37601 も修正した。
一連の修正された脆弱性は、2025年12月のセキュリティ・アドバイザリに記載されている。
Atlassian 製品のアップデートと、そこで修正された Apache Tika の脆弱性が解説されています。一連の修正の中で、最も深刻な Tika の脆弱性 CVE-2025-66516 は、XML形式のデータを処理する際の XXE (XML外部エンティティ) インジェクションに起因します。本来であれば、PDF などからテキストを抽出する際に、外部のファイルや URL を参照する機能を停止する必要がありますが、Apache Tikaの古いバージョンでは、その設定が不十分でした。その結果、悪意のある情報を埋め込んだPDFを読み込ませるだけで、サーバ内部の機密ファイルが読み取られてしまう恐れがありました。ご利用のチームは、ご注意ください。よろしければ、Atlassian での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.