オープンソースの解析ツールキットであるApache Tikaに存在する重大度「クリティカル」の脆弱性により、攻撃者がXML外部実体(XXE)インジェクション攻撃を実行できる可能性があります。
Apache Tikaは、事実上あらゆる種類のファイルから情報を抽出できる汎用パーサーとして機能しており、インデックス作成および解析ツールの中核コンポーネントとなっています。
CVE-2025-66516(CVSSスコア 10/10)として追跡されているこの重大な問題は、Apache Tikaのtika-core、tika-pdf-module、およびtika-parsersモジュールに影響します。
攻撃者は、すべてのプラットフォームにおいて、PDFファイル内に配置された細工済みのXFAファイルを介してこの欠陥を悪用することができます。
XXEインジェクションの脆弱性が悪用されると、一般的に情報漏えい、SSRF攻撃、サービス拒否(DoS)、あるいはリモートコード実行(RCE)につながる可能性があります。
そのため、検索エンジン、コンテンツ管理システム、データ解析ツールにおいてApache Tikaが果たしている重要な役割を踏まえると、この脆弱性は大きなリスクとなります。
Apache TikaのVPであるTim Allisonはアドバイザリの中で、CVEスコア8.4で8月に公開されたCVE-2025-54988の影響範囲を、CVE-2025-66516が拡大する形になっていると説明しています。
Allisonによれば、元の脆弱性はtika-coreに影響しますが、エントリーポイントはtika-parser-pdf-moduleパッケージであったため、問題を完全に解消するには両方のパッケージを更新する必要がありました。
さらに彼は、XXEの欠陥に関する当初の報告では、1.x系TikaリリースにおけるPDFパーサーがtika-parsersモジュール内にあることが言及されていなかったと説明しています。
今回新たに公開されたApache Tikaの脆弱性は、tika-coreバージョン3.2.2、tika-parser-pdf-moduleバージョン3.2.2、およびtika-parsersバージョン2.0.0で修正されています。
影響を受けるモジュールは、他のパッケージの依存関係として利用されています。ユーザーはできるだけ早くパッチを適用するよう推奨されています。
翻訳元: https://www.securityweek.com/critical-apache-tika-vulnerability-leads-to-xxe-injection/
