کمیته رکن چهارم– یک آسیبپذیری امنیتی بسیار بحرانی با شناسه CVE-2025-66516 در کتابخانه Apache Tika شناسایی شده که به مهاجمان امکان اجرای حملات تزریق XML از نوع XXE را میدهد. این آسیبپذیری امتیاز ۱۰٫۰ را در شاخص CVSS دریافت کرده و نیاز به بهروزرسانی فوری دارد.
به گزارش کمیته رکن چهارم، این نقص در ماژولهای tika-core، tika-parser-pdf-module و tika-parsers وجود دارد. مهاجم میتواند از طریق یک فایل PDF حاوی محتوای مخرب XFA، دسترسی به فایلهای داخلی سیستم پیدا کرده یا حتی در شرایطی خاص، اجرای کد از راه دور انجام دهد. نسخههای امن برای رفع این آسیبپذیری شامل نسخه ۳٫۲٫۲ برای ماژولهای tika-core و tika-parser-pdf-module و نسخه ۲٫۰٫۰ برای ماژول tika-parsers هستند.
این آسیبپذیری توسعهیافته نسخهای قبلی با شناسه CVE-2025-54988 است که در اوت ۲۰۲۵ وصله شده بود. تفاوت اصلی در این است که نقص جدید در واقع در ماژول tika-core قرار دارد، نه فقط در tika-parser-pdf-module. همچنین در نسخههای ۱.x، ماژول PDFParser بخشی از tika-parsers بوده است. بنابراین کاربرانی که فقط یکی از ماژولها را بهروزرسانی کردهاند، همچنان در معرض خطر هستند.
آسیبپذیری XXE به مهاجمان اجازه میدهد اطلاعات حساس را استخراج کرده یا به فایلهای سیستمی دسترسی یابند. در برخی موارد حتی امکان اجرای کد از راه دور نیز وجود دارد. این تهدید بهویژه برای سیستمهایی که از Apache Tika برای پردازش فایلهای PDF استفاده میکنند، جدی است. با توجه به سطح بحرانی بودن این آسیبپذیری، بهروزرسانی همه ماژولهای آسیبپذیر به نسخههای ایمن بهصورت فوری توصیه میشود.
