Apache Tikaに深刻な脆弱性:悪意あるPDFでシステム侵害の恐れ
Apache Tikaのコアコンポーネントに、リモートの攻撃者が悪意のあるPDFファイルをアップロードするだけでシステムを侵害できる重大な脆弱性(CVE-2025-66516)が発見されました。Apacheのメンテナーによって公開されたセキュリティアドバイザリによると、この脆弱性は「XML External Entity (XXE) Injection」に起因します。
この脆弱性は、コンテンツ分析、検索、ドキュメント処理パイプラインに広く組み込まれているTikaのバージョンに影響を与えます。
脆弱性の詳細:XXEインジェクションによる情報漏洩
この問題は、Apache TikaがPDFファイルに埋め込まれたXFA (XML Forms Architecture) コンテンツを処理する際のXML External Entity (XXE) インジェクションの欠陥に起因します。細工されたPDFファイルに悪意のあるXFAコンポーネントが含まれている場合、Tikaが外部XMLエンティティを評価する可能性があります。これにより、攻撃者はTikaが動作しているサーバー上のローカルファイル、内部ネットワークリソース、またはその他の機密データにアクセスできるようになります。
影響を受けるバージョンとコンポーネント
Apacheの勧告によると、以下のバージョンが影響を受けます。
- Apache Tika core (org.apache.tika:tika-core): バージョン 1.13 から 3.2.1
- Apache Tika parsers (org.apache.tika:tika-parsers): バージョン 1.13 から 2.0.0 未満
- Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module): バージョン 2.0.0 から 3.2.1
この脆弱性は、以前報告されたCVE-2025-54988と密接に関連していますが、CVE-2025-66516は影響範囲を拡大しています。以前の報告ではPDFパーサーモジュールがエントリポイントとされていましたが、Apacheは根本原因と修正はTika coreにあることを明確にしました。このため、PDFパーサーモジュールのみを更新し、tika-coreを安全なバージョン(少なくとも3.2.2)にアップグレードしなかった組織は、依然として露呈している可能性があります。また、旧式の1.x Tikaリリースでは、PDFパーサーが一般的なtika-parsersモジュール内にバンドルされており、これらのパッケージが初期のアドバイザリで明示的に言及されていなかったため、一部の展開環境ではそのリスクに気づいていない可能性があります。
実世界での脅威と潜在的被害
現実の環境では、Apache Tikaはファイルアップロードワークフロー、検索インデックスシステム、データ取り込みパイプライン、ドキュメントからコンテンツを自動的に解析・抽出するセキュリティツールなどに頻繁に統合されています。このような設定において、攻撃者は特別に細工されたPDFファイルをアップロードまたは送信することで、脆弱な解析ロジックをトリガーし、XXEを悪用して機密情報を抜き取ったり、内部インフラへさらに侵入したりする可能性があります。
管理者・開発者への推奨対策
Apache Tikaを使用している管理者および開発者は、以下の対応を強く推奨します。
- 自身のアプリケーションが影響を受ける
tika-core、tika-parsers、またはtika-parser-pdf-moduleのバージョンに依存しているかどうかを特定する。 tika-coreをバージョン3.2.2以降にアップグレードし、関連するすべてのTikaコンポーネントが整合性のある方法で更新されていることを確認する。- 信頼できないPDFを処理するすべてのシステム、特に公開されているアップロードエンドポイントをレビューし、追加の強化と入力検証を検討する。