È stata scoperta una vulnerabilità di sicurezza critica in Apache Tika che potrebbe portare a un attacco di iniezione di entità esterne XML (XXE). La vulnerabilità, segnalata come CVE-2025-66516, ha un punteggio di 10,0 sulla scala di valutazione CVSS, indicando una gravità massima.
La vulnerabilità critica XXE in Apache Tika colpisce i moduli tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) e tika-parsers (1.13-1.28.5) su tutte le piattaforme, consentendo a un attaccante di eseguire un’iniezione di entità esterne XML tramite un file XFA personalizzato all’interno di un PDF, secondo un avviso per la vulnerabilità. Ciò colpisce i seguenti pacchetti Maven: org.apache.tika:tika-core >= 1.13, org.apache.tika:tika-parser-pdf-module >= 2.0.0, org.apache.tika:tika-parsers >= 1.13.
La vulnerabilità di iniezione di entità esterne XML consente a un attaccante di interferire con l’elaborazione dei dati XML di un’applicazione, consentendo l’accesso ai file del file system del server di applicazioni e, in alcuni casi, anche l’esecuzione di codice remoto. La CVE-2025-66516 è valutata come identica alla CVE-2025-54988 (punteggio CVSS: 8,4), un’altra vulnerabilità XXE nel framework di rilevamento e analisi dei contenuti che è stata corretta dai responsabili del progetto ad agosto 2025.
Si consiglia agli utenti di applicare gli aggiornamenti il più presto possibile per mitigare le potenziali minacce, data la criticità della vulnerabilità. La squadra di Apache Tika ha affermato che la nuova CVE amplia l’ambito dei pacchetti interessati in due modi: in primo luogo, l’entrypoint per la vulnerabilità era il tika-parser-pdf-module, come segnalato in CVE-2025-54988, ma la vulnerabilità e la sua correzione erano in tika-core; in secondo luogo, il rapporto originale non menzionava che nelle versioni 1.x di Tika, il PDFParser era nel modulo org.apache.tika:tika-parsers.
