古いPDF解析の欠陥の影響範囲が拡大し、より多くのTikaモジュールが対象に。
広く利用されているApache TikaのXMLドキュメント抽出ユーティリティに存在するセキュリティ欠陥は、昨年夏に最初に公開された当初の想定よりも影響範囲が広く、より深刻であると、プロジェクトのメンテナが警告している。
彼らの新たなアラートは、2つの密接に関連した欠陥に関するもので、1つ目は8月に公開され、深刻度8.4と評価されたCVE-2025-54988、2つ目は先週公開され、深刻度10と評価されたCVE-2025-66516である。
CVE-2025-54988は、Apache Tikaのバージョン1.13から3.2.1まで(3.2.1を含む)でPDFを処理するために使用されるtika-parser-pdf-moduleの脆弱性である。これは、ソフトウェアツールが1,000種類のプロプライエタリ形式からデータを正規化し、インデックス付けや読み取りを行えるようにする、Tikaの広範なエコシステムの1モジュールである。
しかし残念ながら、このドキュメント処理機能そのものが、XML External Entity(XXE)インジェクション攻撃を用いるキャンペーンにとって格好の標的となっており、この種のユーティリティでは繰り返し発生している問題でもある。
CVE-2025-54988の場合、攻撃者は悪意あるPDFの内部にXML Forms Architecture(XFA)の命令を隠すことで、外部エンティティ(XXE)インジェクション攻撃を実行できた可能性がある。
これにより「攻撃者は機密データを読み取ったり、内部リソースやサードパーティサーバーへの悪意あるリクエストを引き起こしたりできる可能性がある」とCVEでは述べられている。攻撃者は、この欠陥を悪用してツールのドキュメント処理パイプラインからデータを取得し、Tikaによる悪意あるPDFの処理を通じてそれを流出させることができる。
CVEのスーパーセット
メンテナは現在、このXXEインジェクションの欠陥がこのモジュールに限定されないことに気づいている。これは追加のTikaコンポーネント、すなわちApache Tika tika-core(バージョン1.13から3.2.1)およびtika-parsers(バージョン1.13から1.28.5)にも影響する。さらに、レガシーTika parsersのバージョン1.13から1.28.5も影響を受ける。
通常とは異なり、かつ紛らわしいことに、同じ問題に対して現在2つのCVEが存在しており、2つ目のCVE-2025-66516は1つ目のスーパーセットとなっている。おそらく、2つ目のCVEを発行した理由は、CVE-2025-54988を適用済みの人々であっても、CVE-2025-66516で列挙されている追加の脆弱なコンポーネントのせいで、依然としてリスクにさらされていることに注意を喚起するためだと考えられる。
これまでのところ、これらのCVEにおけるXXEインジェクションの脆弱性が、実際の攻撃者によって悪用されている証拠はない。しかし、この脆弱性がリバースエンジニアリングされたり、概念実証コードが公開されたりすれば、状況が急速に変化するリスクがある。
CVE-2025-66516は、深刻度が異例の最大値である10.0と評価されており、このソフトウェアを自分たちの環境で使用している人にとって、パッチ適用は最優先事項となる。ユーザーは、Tika-coreバージョン3.2.2、tika-parser-pdf-moduleバージョン3.2.2(スタンドアロンPDFモジュール)、あるいはレガシー環境の場合はtika-parsersバージョン2.0.0へ更新すべきである。
しかし、パッチ適用が役に立つのは、Apache Tikaを使用していることが分かっているアプリケーションを管理している開発者だけである。問題は、すべてのアプリケーション設定ファイルにTikaの利用状況が記載されているとは限らず、その結果としてTikaの利用が検知されないブラインドスポットが生じうる点だ。この不確実性に対する唯一の緩和策は、開発者がtika-config.xml設定ファイルを通じて、アプリケーション内でXML解析機能を無効化することだろう。
