Falha crítica XXE (CVE-2025-66516), com pontuação CVSS 10.0, atinge Apache Tika e exige correção imediata

Um grave defeito de segurança foi revelado no Apache Tika, colocando organizações que dependem da ferramenta em risco de ataques de XML External Entity (XXE). A vulnerabilidade, catalogada como CVE-2025-66516, recebeu pontuação 10.0 no CVSS, o nível máximo de severidade, indicando potencial para comprometer completamente sistemas que processam arquivos manipulados.

Segundo o alerta oficial, a falha afeta os módulos tika-core (1.13 a 3.2.1), tika-pdf-module (2.0.0 a 3.2.1) e tika-parsers (1.13 a 1.28.5). Um hacker pode explorar o problema por meio de um arquivo PDF contendo um componente XFA especialmente construído, permitindo que o XML seja interpretado de forma maliciosa e executando uma XXE.

Esses ataques são capazes de expor arquivos internos do servidor, acessar informações sensíveis e, em cenários mais críticos, até abrir caminho para execução remota de código.

A equipe do Apache Tika confirmou que o novo CVE amplia o impacto de uma falha relatada anteriormente, CVE-2025-54988, corrigida em agosto de 2025. Embora ambas estejam relacionadas ao módulo PDF, a vulnerabilidade atual foi identificada no tika-core, o que significa que administradores que atualizaram apenas o módulo PDF continuam vulneráveis caso não tenham instalado a versão corrigida do núcleo (3.2.2 ou superior).

Outro ponto destacado é que, nas versões 1.x do Tika, o mecanismo PDFParser estava localizado dentro do módulo “tika-parsers”, ampliando a superfície de risco.

Diante da gravidade da falha e do amplo uso do Apache Tika em soluções de análise de documentos e detecção de conteúdo, os mantenedores reforçam que a aplicação das atualizações deve ser tratada como ação urgente. As versões corrigidas tika-core 3.2.2, tika-parser-pdf-module 3.2.2, e tika-parsers 2.0.0 eliminam o risco e bloqueiam a exploração do XXE.

Via - THN