В популярном инструменте для анализа документов Apache Tika обнаружена критическая уязвимость, позволяющая злоумышленникам получать доступ к конфиденциальной информации и внутренним системам организаций. Проблема, получившая идентификатор CVE-2025-54988, затрагивает модуль парсинга PDF-документов и уже побудила Apache Software Foundation выпустить срочные рекомендации по безопасности.
Детали уязвимости
Уязвимость относится к категории XML External Entity (XXE) и затрагивает обработку XFA-контента (XML Forms Architecture) в PDF-документах. Исследователи безопасности из Amazon Paras Jain и Yakov Shafranovich обнаружили, что злоумышленники могут внедрять вредоносные XFA-файлы в PDF-документы, что позволяет осуществлять инъекции внешних XML-сущностей.
Подверженными оказались версии Apache Tika с 1.13 по 3.2.1 включительно. Исправление выпущено в версии 3.2.2, которую разработчики настоятельно рекомендуют установить всем пользователям. Критический уровень severity присвоен уязвимости не случайно - успешная эксплуатация может привести к чтению произвольных файлов на целевой системе, доступу к внутренним сетевым ресурсам и выполнению запросов к внешним серверам под контролем атакующих.
Особую опасность представляет широкий охват потенциально уязвимых систем. Проблема затрагивает не только непосредственно модуль tika-parser-pdf-module, но и все пакеты, которые включают его в качестве зависимости. Согласно рекомендациям Apache, в зоне риска находятся tika-parsers-standard-modules, tika-parsers-standard-package, tika-app, tika-grpc и tika-server-standard. Это означает, что организации могут быть уязвимы, даже если они не используют напрямую PDF-парсер.
XXE-уязвимости традиционно считаются одними из наиболее опасных, поскольку открывают возможности для эксфильтрации данных, атак типа "подделка запроса на стороне сервера" (SSRF) и создания условий отказа в обслуживании. В корпоративных средах успешная эксплуатация может привести к раскрытию конфигурационных файлов, учетных данных баз данных и другой чувствительной системной информации.
Организации, использующие Apache Tika для обработки документов, извлечения контента или поисковой индексации, столкнулись с непосредственным риском, особенно если они обрабатывают PDF-документы из непроверенных внешних источников. Масштабы потенциального impact значительно усиливаются тем, что Apache Tika широко используется в enterprise-решениях для автоматической обработки документов.
Эксперты по кибербезопасности подчеркивают необходимость немедленного обновления до версии 3.2.2, в которой реализованы улучшенная валидация входных данных и безопасные конфигурации XML-парсинга. Для организаций, которые не могут выполнить немедленное обновление, рекомендуется реализовать сетевые контроли, ограничивающие возможность систем обработки PDF обращаться к чувствительным внутренним ресурсам или внешним сетям.
Не менее важным представляется проведение аудита всех развертываний Apache Tika в корпоративной среде, включая встроенные реализации в рамках других приложений. Уязвимость affects все платформы, что делает комплексную инвентаризацию и установку патчей критически важными для поддержания security posture.
В настоящее время нет данных об активных атаках с использованием данной уязвимости, однако специалисты предупреждают, что информация о уязвимости уже стала публичной, что традиционно провоцирует злоумышленников на разработку и внедрение эксплойтов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54988
- https://lists.apache.org/thread/8xn3rqy6kz5b3l1t83kcofkw0w4mmj1w
