В начале декабря 2025 года была подтверждена и получила идентификатор CVE-2025-66516 критическая уязвимость в популярном фреймворке для обнаружения и извлечения контента Apache Tika. Проблема, занесенная в российский Банк данных угроз (BDU) под номером 2025-15736, затрагивает ключевые модули платформы. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код на атакуемой системе, просто заставив жертву обработать специально созданный PDF-документ. Учитывая максимальные баллы по шкалам CVSS 2.0 и 3.1, а также наличие публичного эксплойта, угрозу следует считать высокой.
Детали уязвимости
Суть уязвимости, классифицированной как CWE-611 (Improper Restriction of XML External Entity Reference), заключается в некорректной обработке XML-ссылок на внешние объекты в составе XFA-шаблонов. Apache Tika широко используется для парсинга и извлечения метаданных из тысяч форматов файлов. Когда Tika обрабатывает PDF, содержащий вредоносный XFA-шаблон, возникает возможность для XXE-атаки. В результате злоумышленник, действуя удаленно, может прочитать локальные файлы, инициировать SSRF-запросы или, что наиболее опасно, добиться выполнения произвольных команд на сервере. Это предоставляет полный контроль над уязвимым приложением и его окружением.
Затронутыми являются несколько основных компонентов Apache Tika. В частности, модуль tika-core в версиях от 1.13 до 3.2.1 включительно, tika-parsers в версиях от 1.13 до 2.0.0, а также модуль tika-pdf (tika-pdf-module) в версиях от 2.0.0 до 3.2.1. Уязвимость уже устранена разработчиками Apache Software Foundation. Следовательно, основным и самым эффективным способом защиты является немедленное обновление библиотек Tika до актуальных, исправленных версий. Информация о проблеме была опубликована в официальном списке рассылки Apache.
Тем не менее, в рекомендациях BDU, как это часто бывает в текущих условиях, содержится важная оговорка. В связи с внешними ограничениями устанавливать обновления рекомендуется только после тщательной оценки всех сопутствующих рисков и исключительно из доверенных источников. Параллельно эксперты предлагают ряд компенсирующих мер для организаций, которые не могут оперативно провести обновление. Например, критически важно ограничить возможность открытия файлов из непроверенных источников. Кроме того, следует использовать антивирусное программное обеспечение для дополнительной проверки входящих документов.
Эффективной практикой может стать изоляция процессов, связанных с обработкой пользовательского контента. Для этого можно использовать замкнутые программные среды, такие как контейнеры или песочницы. На сетевом уровне доступ к сервисам, использующим уязвимые версии Tika, должен быть ограничен с помощью межсетевых экранов. Также рекомендуется применять схему доступа по принципу "белого списка", разрешая соединения только с доверенных IP-адресов. Наконец, для мониторинга и предотвращения атак стоит задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны выявлять известные сигнатуры атак, включая попытки эксплуатации данной уязвимости.
Особую озабоченность специалистов по кибербезопасности вызывает факт наличия публичного эксплойта. Исходный код для проверки и демонстрации уязвимости CVE-2025-66516 размещен в открытом доступе на GitHub. Это значительно снижает порог входа для потенциальных атакующих, упрощая создание вредоносных полезных нагрузок (malicious payload). Как следствие, увеличиваются риски целенаправленных атак, особенно на государственные и коммерческие организации, которые используют Tika в своих workflow-процессах для автоматической обработки больших объемов документов.
Угроза является актуальной для многих корпоративных решений, поскольку Apache Tika часто работает "под капотом" различных систем управления контентом (CMS), платформ для совместной работы и корпоративных поисковых движков. Атака не требует взаимодействия с пользователем в классическом понимании, так как обработка файла может быть инициирована автоматически фоновым сервисом. Следовательно, даже системы без публичного веб-интерфейса могут быть уязвимы, если они принимают и анализируют файлы из внешних источников.
В заключение, уязвимость CVE-2025-66516 в Apache Tika представляет собой серьезную угрозу, требующую безотлагательных действий. Критически важным шагом остается применение официальных патчей от разработчика. Если немедленное обновление невозможно, необходимо строго следовать рекомендованным компенсирующим мерам, уделяя особое внимание сегментации сети и контролю входящих файлов. Регулярный аудит используемых библиотек и своевременное применение обновлений безопасности должны быть неотъемлемой частью политики защиты любой современной IT-инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2025-15736
- https://www.cve.org/CVERecord?id=CVE-2025-66516
- https://github.com/Ashwesker/Blackash-CVE-2025-66516
- https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
