Специалисты по кибербезопасности подтвердили наличие критической уязвимости в популярном инструменте Apache Tika, предназначенном для обнаружения и извлечения метаданных и текста из файлов различных форматов. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00894 и получившая идентификатор CVE-2025-54988, связана с неправильной обработкой XML-данных внутри PDF-документов. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику осуществлять успешные XXE-атаки (XML External Entity attacks).
Детали уязвимости
Суть проблемы заключается в ошибке типа CWE-611, то есть в неверном ограничении XML-ссылок на внешние объекты в нескольких ключевых модулях Tika. Конкретно, уязвимыми являются компоненты "tika-core", "tika-pdf-module" и "tika-parsers". Атака становится возможной при отправке специально сформированного PDF-файла, который содержит вредоносный XFA-файл (XML Forms Architecture). Когда Apache Tika обрабатывает такой документ, некорректная конфигурация синтаксического анализатора XML позволяет злоумышленнику читать содержимое внутренних файлов на сервере или инициировать запросы к внешним системам.
Оценка по методологии CVSS подчеркивает серьезность угрозы. Базовый балл CVSS 3.1 достигает критических 9.8 из 10. Это означает, что для эксплуатации не требуются ни специальные привилегии (PR:N), ни взаимодействие с пользователем (UI:N), а сама атака может проводиться удаленно через сеть (AV:N). Следовательно, под угрозу попадают конфиденциальность, целостность и доступность данных на затронутых системах.
Затронуты версии Apache Tika от 1.13 до 3.2.1 включительно. Кроме того, уязвимость затрагивает пакеты, входящие в состав стабильной ветки дистрибутива Debian GNU/Linux 11. Владельцам серверов и разработчикам, использующим Tika в своих проектах для автоматической обработки входящих документов, например, в системах управления контентом или почтовых сервисах, рекомендуется незамедлительно проверить свои конфигурации.
Производитель, Apache Software Foundation, уже подтвердил уязвимость и выпустил необходимые исправления. Основным способом устранения риска является обновление программного обеспечения до исправленных версий. Соответствующие рекомендации и ссылки на обновления опубликованы в официальных рассылках сообщества. Команда сопровождения Debian также выпустила обновления безопасности для пакетов в репозитории.
На текущий момент информация о наличии активных эксплойтов уточняется. Однако высокая степень опасности и относительная простота эксплуатации подобных XXE-уязвимостей делают ее привлекательной мишенью для злоумышленников. В частности, атака может быть использована для кражи чувствительных данных, таких как файлы конфигурации, содержащие учетные данные, или для проведения атак типа SSRF (Server-Side Request Forgery).
Эксперты напоминают, что XML External Entity атаки остаются распространенным вектором угроз. Для защиты необходимо не только своевременно применять обновления, но и на уровне архитектуры ограничивать сетевой доступ к аналитическим сервисам, а также проводить регулярный аудит конфигураций. Особую осторожность следует проявлять при обработке файлов, полученных из непроверенных источников. К счастью, в данном случае производитель оперативно отреагировал, предоставив сообществу четкий путь к устранению угрозы.
Ссылки
- https://bdu.fstec.ru/vul/2026-00894
- https://www.cve.org/CVERecord?id=CVE-2025-54988
- https://lists.apache.org/thread/8xn3rqy6kz5b3l1t83kcofkw0w4mmj1w
- https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
- https://www.openwall.com/lists/oss-security/2025/08/20/2
- https://www.openwall.com/lists/oss-security/2025/08/20/3
- https://lists.debian.org/debian-lts-announce/2025/10/msg00030.html
- https://security-tracker.debian.org/tracker/CVE-2025-54988
