TokyoBlackHatNews

meterpreter.org 4分で読了

重大アラート: Apache Tika の XXE 脆弱性(CVSS 10.0)により PDF ファイル経由で任意ファイル読み取りが可能に

Image

2025年12月4日、Apache Software Foundation は Apache Tika ライブラリにおける重大な脆弱性 CVE-2025-66516 を公表しました。本脆弱性は CVSS スコア 10.0(最大値)と評価されています。Tika は検索エンジン、ECM プラットフォーム、DLP システム、大規模なドキュメント処理パイプラインの基盤として広く利用されているため、この問題は開発者だけでなく、Tika がインフラの一部として密かに組み込まれている多種多様な業務サービスにも影響を及ぼします。

この脆弱性は、Tika が PDF ファイル内に埋め込まれた XFA マークアップを処理する方法に起因します。Tika はそのようなドキュメントをパースする際、外部 XML エンティティの利用を制限しておらず、その結果として典型的な XXE 攻撃が可能になります。細工された PDF を用いることで、Tika にホスト上の任意ファイルを読み取らせたり、通常は外部からアクセスできない内部ネットワークリソースに対して SSRF リクエストを発生させたりすることができます。

Apache Tika 3.2.2 で修正が提供されています。tika-core と tika-parser-pdf-module の両方が更新されており、PDF パーサーのみをパッチ適用しても不十分です。保護を確実にするには、依存関係チェーン全体をアップグレードする必要があります。

SKIPA によると、現在 Runet 上で Apache Tika を使用しているホストはおよそ 200 台あり、その約 95% が脆弱であると見られます。PentOps のクライアントには事前に通知が行われ、パッチ適用およびリスク低減に関する詳細なガイダンスが提供されました。しかし、実際の Tika 導入数ははるかに多い可能性があります。というのも、このライブラリはしばしば推移的に組み込まれており、パブリックに公開されたインフラ上では明示的に露出していないことが多いためです。

インストール環境が脆弱となるのは、tika-core のバージョン 1.13 から 3.2.1 を利用している場合、ならびに tika-parser-pdf-module のバージョン 2.0.0 から 3.2.1 を利用している場合です。1.x 系では、tika-parsers 1.28.5 まで(同バージョンを含む)に本脆弱性が存在します。重要なのは、この問題が PDF パーサーだけでなく、tika-core 内部の XML パーサーにも存在している点であり、部分的なアップデートでは効果がないということです。

この脆弱性は、一般的な自動ドキュメント処理ワークフローの下で容易に悪用可能です。Tika が XFA マークアップを含む PDF ファイルを取り込み、自動的にパースし、ネットワークまたはファイルシステムへのアクセス権を持つ環境で動作しているだけで十分です。Firejail、Docker、AppArmor といったサンドボックスツールや、厳格な ACL は被害範囲を縮小する効果はありますが、完全な防止にはなりません。XXE 攻撃が成功すれば、攻撃者はコンテナのセキュリティコンテキスト内で許される範囲の自由を依然として得ることになります。

侵害の兆候としては、XFA 対応 PDF を処理する際のエラーや異常動作、Tika サービスから見慣れないドメインへの予期しない外向きリクエスト、file:///etc/passwd やユーザーディレクトリなどローカルパスへのアクセス試行、突発的な負荷の急増、取り込みやパースワークフローにおける通常とは異なる例外などが挙げられます。Tika を利用するアプリケーションのログには、XML パースの失敗や、フォールバックモードが頻繁に有効化されている形跡が残っている可能性があります。

CVSS 10.0 という深刻度を踏まえると、推奨される対策は明確です。Apache Tika をバージョン 3.2.2 にアップグレードし、tika-core と PDF モジュールの両方が同時に更新されていることを確認してください。すぐにパッチ適用ができない場合は、一時的措置として XFA を含む PDF の処理を無効化または大幅に制限し、受信ファイルに対する厳格な検証とフィルタリングを導入し、Tika プロセスをファイルシステム権限を最小限に抑えた厳格なコンテナ内に隔離し、外向き接続を遮断してください。また、Tika は検索モジュールや ECM プラットフォームによって推移的に取り込まれることが多いため、依存関係チェーンの監査も推奨されます。

最後のステップとして、ログの徹底的な監査が必要です。Tika のログおよび自動 PDF 解析を行うすべての連携サービスのログを確認し、異常なパースエラー、不審なネットワークアクティビティ、内部リソースへのアクセス試行に特に注意を払ってください。本脆弱性はすでに詳細が公開され、最高レベルの深刻度評価が付与されています。アップデートや調査を先延ばしにすることは、極めて高いリスクを伴います。

翻訳元: https://meterpreter.org/critical-alert-apache-tika-xxe-flaw-cvss-10-0-allows-file-read-via-pdf-files/

ソース: meterpreter.org
#Apache Tika #CVE-2025-66516 #CVSS 10.0 #PDFセキュリティ #XML外部実体参照(XXE) #XXE脆弱性 #サーバーサイドリクエストフォージェリ(SSRF) #セキュリティアップデート #ドキュメント解析基盤 #脆弱性情報

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす