TokyoBlackHatNews

darkreading.com 4分で読了

Apache、パッチの見落としを受けてTikaに最大深刻度のCVEを発行

Image

出典: T.Schneider / Shutterstock

Apache Software Foundation(ASF)は、Apache Tika における重大なセキュリティ欠陥について、新たなCVE識別子を発行した。これは、当初の脆弱性開示では影響を受けるコンポーネントの範囲を十分に捉えられておらず、多くのユーザーが推奨パッチを適用したにもかかわらず依然として危険にさらされていたためだ。

新たに最大深刻度として登録された CVE-2025-66516(CVSSスコア:10)は、CVE-2025-54988 を更新するものだ。CVE-2025-54988 は、ASF が8月に開示したクリティカルな XML External Entity(XXE)脆弱性であり、当時は Apache Tika 1.13 から 3.2.1 が影響を受けると説明されていた。新しいCVE-2025-66516は、同じ根本的な欠陥に対処するものだが、対象となるモジュールの一覧を拡大し、脆弱性が正確にどこに存在するのかを明確にしている。

Apache Tika の脆弱性に依然として晒されている可能性

「tika-parser-pdf-module をアップグレードしたものの、tika-core を >= 3.2.2 にアップグレードしていないユーザーは、依然として脆弱なままです」と、ASF は CVE-2025-66516 の説明で述べている。

Apache Tika はオープンソースのコンテンツ解析ツールであり、PDF、PowerPoint、Excel、Word をはじめ、数百種類のファイル形式からテキストやメタデータを自動的に認識・抽出できる。検索エンジンのインデックス作成、翻訳、AIパイプラインへのコンテンツ投入などが、このツールの主なユースケースだ。

ASF が8月に CVE-2025-54988 を開示した際、この脆弱性について「PDF 内部の細工された XFA ファイルを介して XML External Entity インジェクションを実行できる」と説明していた。財団は、この脆弱性が tika-parser-pdf-module に存在し、攻撃者が機密データを読み取ったり、サービス拒否(DoS)状態を引き起こしたり、本来は分離されている内部システムやサードパーティシステムへの不正な接続を確立したりできると説明した。「なお、tika-parser-pdf-module は、少なくとも tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc、tika-server-standard など、複数の Tika パッケージで依存コンポーネントとして使用されています」と、ASF はこのツールを利用する組織に注意喚起していた。 

ASF が脆弱性の範囲を拡大し、新たなCVEを発行したのには、2つの重要な理由がある。第一に、CVE-2025-54988 では tika-parser-pdf-module を脆弱性の入口として特定し、そのコンポーネントのアップグレードを推奨していたが、実際の欠陥は tika-core に存在していると ASF は説明している。最初のアドバイザリに従って PDF パーサーモジュールのみをアップグレードし、tika-core をバージョン 3.2.2 以降に更新しなかった組織は、依然として悪用に対して脆弱なままだと警告している。

第二に、元のアドバイザリでは、レガシーな 1.x 系 Tika リリースにおいて、PDF Parser が独立したコンポーネントではなく「org.apache.tika:tika-parsers」モジュール内に存在していたという事実が見落とされていたと ASF は述べている。このため、古いバージョンの Tika を利用しているユーザーは、どのコンポーネントにパッチを適用すべきかについて明確な指針を得られていなかった。

より広範な影響

CVE-2025-66516 は、Tika Core および Tika Parsers のバージョン 1.13 から 3.2.1 まで(3.2.1 を含む)に影響する。また、この脆弱性は Apache Tika PDF Module のバージョン 1.13 から 2.0.0 未満、および 2.0.0 から 3.2.1 までにも影響する。ASF は、Tika 3.2.2 以降のリリースでこの問題を修正している。組織は、脆弱性から保護するために Tika Core を 3.2.2 以降にアップグレードする必要がある。ASF によれば、PDF モジュールのみを更新するだけでは不十分だ。

CVE-2025-66516 は、Apache Tika のような深く組み込まれたライブラリが、複雑な推移的依存関係(あるコンポーネントが別のコンポーネントに依存している状態)により、組織全体に隠れたリスクを生み出し得ることを示す一例だ。この種のツールにおける重大な脆弱性は、しばしば組織全体に連鎖的な影響を及ぼす可能性がある。そのためセキュリティ専門家は、組織が詳細なソフトウェア部品表(SBOM)を整備し、すべてのコンポーネントとその相互依存関係を追跡するために、自動化された依存関係スキャンツールを導入することを推奨している。

翻訳元: https://www.darkreading.com/application-security/apache-max-severity-tika-cve-patch-miss

ソース: darkreading.com
#Apache Tika #CVE-2025-54988 #CVE-2025-66516 #PDFパーサーモジュール #SBOM(ソフトウェア部品表) #XXE脆弱性 #オープンソースセキュリティ #ソフトウェアサプライチェーン #トランジティブ依存関係 #脆弱性管理とパッチ適用

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開