Uma falha crítica de segurança foi divulgada no Apache Tika, que pode permitir um ataque do tipo XML External Entity (XXE) injection.
Identificada como
CVE-2025-66516
, a vulnerabilidade recebeu a nota máxima de severidade, 10,0, na escala CVSS, indicando risco extremo para os sistemas afetados.
Segundo o comunicado oficial, o problema afeta os módulos tika-core (versões 1.13 a 3.2.1), tika-pdf-module (2.0.0 a 3.2.1) e tika-parsers (1.13 a 1.28.5) em todas as plataformas.
“Um invasor pode explorar a injeção XXE por meio de um arquivo XFA malicioso embutido em documentos PDF”, destaca a análise.
Mais especificamente, as versões vulneráveis dos pacotes Maven são:
- org.apache.tika:tika-core, da 1.13 até a 3.2.1 (corrigida na 3.2.2)
- org.apache.tika:tika-parser-pdf-module, da 2.0.0 até a 3.2.1 (corrigida na 3.2.2)
- org.apache.tika:tika-parsers, da 1.13 até antes da 2.0.0 (corrigida na 2.0.0)
A injeção XXE é uma falha que compromete o processamento de dados XML por uma aplicação, permitindo, entre outros riscos, acesso não autorizado a arquivos no servidor e até execução remota de código.
Este novo CVE é considerado uma extensão da vulnerabilidade anterior
CVE-2025-54988
, que tinha nota 8,4 e também envolvia XXE no framework Apache Tika.
A principal diferença, segundo a equipe de desenvolvimento, é o escopo ampliado para incluir mais pacotes.
“Primeiro, embora a vulnerabilidade tenha sido descoberta inicialmente no módulo tika-parser-pdf-module, o problema e sua correção estão localizados no tika-core.
Portanto, usuários que atualizaram apenas o tika-parser-pdf-module, sem atualizar o tika-core para a versão 3.2.2 ou superior, permanecem expostos”, explicam os desenvolvedores.
“Segundo, o relatório original não mencionou que, nas versões 1.x do Apache Tika, o PDFParser estava incluído no módulo org.apache.tika:tika-parsers.”
Dada a gravidade da falha, a recomendação é que os usuários apliquem as atualizações disponíveis o quanto antes para evitar possíveis ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...