یک نقص امنیتی که پیشتر در فریمورک پردازش اسناد Apache Tika افشا شده بود، گستردهتر و جدیتر از چیزی است که ابتدا تصور میشد. نگهدارندگان پروژه با انتشار یک مشاوره امنیتی جدید اعلام کردهاند ضعفی که در ابتدا تصور میشد محدود به یک مؤلفه پردازش PDF باشد، در حقیقت در چندین ماژول Tika وجود دارد و دامنه آسیبپذیری که نخستینبار در میانه سال ۲۰۲۵ علنی شد را بسیار وسیعتر میکند.
افشای اولیه و محدودیتهای CVE-2025-54988
ضعف اولیه که با شناسه CVE-2025-54988 و شدت ۸.۴ در آگوست منتشر شد، مربوط به ماژول tika-parser-pdf-module بود که نسخههای ۱.۱۳ تا ۳.۲.۱ Apache Tika را هنگام پردازش PDF تحت تأثیر قرار میداد. Tika ابزاری است برای استخراج و استانداردسازی محتوا از بیش از ۱۰۰۰ فرمت فایل اختصاصی و سالهاست هدف حملات XXE بوده است، خصوصاً در نرمافزارهایی که فرمتهای پیچیده اسناد را پردازش میکنند.
طبق توضیحات اولیه CVE، این ضعف به مهاجمان اجازه میداد دستورهای XML Forms Architecture (XFA) را درون یک PDF مخرب پنهان کنند. هنگام پردازش، این دستورها میتوانستند حمله XXE را فعال کنند و به مهاجم امکان دهند «اطلاعات حساس را بخواند یا درخواستهای مخرب به منابع داخلی یا سرورهای ثالث ارسال کند.»
این آسیبپذیری همچنین راهی برای خروج دادهها از طریق خط پردازش خود Tika ایجاد میکرد، بدون اینکه هیچ نشانه بیرونی از نشت داده وجود داشته باشد.
CVE جدید دامنه مؤلفههای آسیبدیده و شدت حمله را گسترش میدهد
نگهدارندگان پروژه اکنون گزارش میدهند که پارسر PDF تنها نقطه آسیبپذیر نبوده است. مشاوره جدید که ۴ دسامبر ۲۰۲۵ توسط تیم آلیسون در لیستنامه Tika منتشر شد، تأیید میکند که مشکل در مؤلفههای دیگری نیز وجود دارد. ضعف جدید با شناسه CVE-2025-66516 و شدت ۱۰.۰ منتشر شده و دامنه آسیب را به موارد زیر گسترش میدهد:
-
Apache Tika core (tika-core) نسخههای ۱.۱۳ تا ۳.۲.۱
-
Apache Tika parsers (tika-parsers) نسخههای ۱.۱۳ تا ۱.۲۸.۵
-
Apache Tika PDF parser module (tika-parser-pdf-module) نسخههای ۲.۰.۰ تا ۳.۲.۱
نگهدارندگان دو دلیل برای صدور یک CVE دوم عنوان کردهاند. نخست، اگرچه نقص از طریق PDF parser کشف شد، اما ریشه و اصلاح آن در خود tika-core قرار داشت. این یعنی کاربرانی که پس از افشای اولیه فقط PDF parser را بهروزرسانی کردهاند اما Tika core را به نسخه ۳.۲.۲ یا بالاتر ارتقا ندادهاند، همچنان در معرض خطر هستند.
دوم اینکه نسخههای قدیمیتر Tika، کلاس PDFParser را داخل ماژول tika-parsers داشتند که در CVE اولیه لحاظ نشده بود، هرچند آسیبپذیر بود. مشاوره امنیتی تأکید میکند که CVE-2025-66516 «همان آسیبپذیری CVE-2025-54988 را پوشش میدهد» اما فهرست بستههای آسیبدیده را گسترش میدهد تا کاربران از دامنه کامل خطر آگاه شوند.
تأثیر، ریسک بهرهبرداری و راهکارهای مقابله
تا اوایل دسامبر، نگهدارندگان میگویند شواهدی از بهرهبرداری فعال این نقص توسط مهاجمان در حملات واقعی وجود ندارد. با این حال، پتانسیل بهرهبرداری سریع بسیار بالاست، خصوصاً اگر PoCها یا نمونههای مهندسی معکوسشده منتشر شوند.
برای رفع آسیبپذیری، از کاربران خواسته شده به نسخههای زیر ارتقا دهند:
-
tika-core 3.2.2
-
tika-parser-pdf-module 3.2.2
-
tika-parsers 2.0.0 (برای کاربران نسخههای قدیمیتر)
نگهدارندگان هشدار میدهند که وصله کردن ممکن است در محیطهایی کافی نباشد که Tika بهطور غیرمستقیم یا درون برنامههای دیگر استفاده میشود. حضور Tika همیشه صریحاً مستند نشده و این موضوع میتواند برای توسعهدهندگان نقطه کور ایجاد کند. مشاوره امنیتی اشاره میکند که غیرفعال کردن XML parsing از طریق فایل tika-config.xml تنها راهکار برای تیمهایی است که مطمئن نیستند Tika دقیقاً کجا در محیطشان اجرا میشود.
یک نظر