ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

94
94 امتیاز

اکسپلویت, امنیت, روز صفر, وصله امنیتی

کشف آسیب‌پذیری XXE با شدت حداکثری در Apache Tika (CVE-2025-66516)

95نمایش

یک آسیب‌پذیری با شدت حداکثری در Apache Tika با شناسه CVE-2025-66516 و امتیاز CVSS 10.0 کشف شده است که امکان XML External Entity (XXE) را برای مهاجمان فراهم می‌کند.

CVE-2025-66516 امتیاز ۱۰.۰ دریافت کرده زیرا مهاجم می‌تواند یک XXE injection را در ماژول‌های core، PDF و parser اجرای Apache Tika تحریک کند. مهاجم قادر است یک فایل مخرب XFA را درون یک PDF قرار دهد و Tika را وادار کند که موجودیت‌های خارجی XML را پردازش کند، که این کار می‌تواند مسیر دسترسی به منابع حساس داخلی را باز کند.

Apache Tika یک ابزار متن‌باز برای تحلیل محتوا است که برای استخراج متن، متادیتا و اطلاعات ساختاری از تقریباً هر نوع فایل استفاده می‌شود. این ابزار در سیستم‌هایی مانند موتورهای جستجو، خطوط پردازش اسناد (مثل Apache Solr و Elasticsearch)، ابزارهای کامپلاینس و پلتفرم‌های تحلیل محتوا به‌طور گسترده به‌کار می‌رود.

طبق هشدار امنیتی منتشرشده:

«آسیب‌پذیری XXE بحرانی در ماژول‌های tika-core (نسخه‌های ۱.۱۳ تا ۳.۲.۱)، tika-pdf-module (نسخه‌های ۲.۰.۰ تا ۳.۲.۱) و tika-parsers (نسخه‌های ۱.۱۳ تا ۱.۲۸.۵) در تمام پلتفرم‌ها به مهاجم اجازه می‌دهد با استفاده از یک فایل XFA ساختگی درون PDF، حمله XML External Entity را انجام دهد. این CVE همان آسیب‌پذیری CVE-2025-54988 را پوشش می‌دهد.»

«اما این CVE دامنه بسته‌های تأثیرپذیر را به دو شکل گسترش می‌دهد:
اول، نقطه ورود آسیب‌پذیری همان tika-parser-pdf-module بود (طبق CVE-2025-54988)، اما نقص و اصلاح آن در tika-core قرار داشت. بنابراین کاربرانی که فقط ماژول PDF parser را ارتقا داده‌اند و tika-core را به نسخه ۳.۲.۲ یا بالاتر آپدیت نکرده‌اند همچنان آسیب‌پذیر هستند.
دوم، گزارش اولیه اشاره نکرده بود که در نسخه‌های سری ۱.x تیکا، PDFParser در ماژول “org.apache.tika:tika-parsers” قرار دارد.»

XXE (XML External Entity Injection) نوعی آسیب‌پذیری امنیتی است که زمانی رخ می‌دهد که یک برنامه ورودی XML را به‌شکل ناامن پردازش کرده و اجازه می‌دهد مهاجم موجودیت‌های خارجی XML را بارگذاری کند؛ این موجودیت‌ها می‌توانند به فایل‌ها یا URLهای خارج از سند اشاره کنند.

نسخه‌های تحت تأثیر:

  • Apache Tika Core نسخه ۱.۱۳ تا ۳.۲.۱

  • Apache Tika Parsers نسخه ۱.۱۳ قبل از ۲.۰.۰

  • Apache Tika PDF Parser Module نسخه ۲.۰.۰ تا ۳.۲.۱

طبق هشدار، CVE جدید همان نقص CVE-2025-54988 را توصیف می‌کند اما روشن می‌سازد که دامنه تأثیر گسترده‌تر است. هرچند مشکل ابتدا به ماژول PDF parser نسبت داده شده بود، اما آسیب‌پذیری اصلی و اصلاح آن در tika-core قرار داشت؛ یعنی اگر کسی فقط ماژول PDF را آپدیت کرده اما core را به نسخه ≥۳.۲.۲ ارتقا نداده، همچنان در معرض خطر است. همچنین در نسخه‌های ۱.x، ماژول PDFParser بخشی از tika-parsers بوده که دامنه بسته‌های آسیب‌پذیر را افزایش می‌دهد.

تیم نگه‌دارنده پروژه از کاربران خواسته است هرچه سریع‌تر به‌روزرسانی‌ها را نصب کنند.

, , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

94
94 امتیاز

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

واکنش شما به این مطلب چیست ؟

جالب جالب
4
جالب
خنده‌دار خنده‌دار
4
خنده‌دار
انزجار انزجار
2
انزجار
عجیب عجیب
1
عجیب
ناراحت ناراحت
0
ناراحت
بد بد
6
بد
باحال باحال
4
باحال
خوب خوب
4
خوب
ترسناک ترسناک
2
ترسناک

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت