أعلن فريق مشروع Apache Tika عن ثغرة أمنية بالغة الخطورة تحمل الرمز CVE-2025-66516، مصنفة بدرجة 10.0 على مقياس CVSS، ما يجعلها من أعلى مستويات الخطورة الممكنة. الثغرة تسمح بتنفيذ هجوم XML External Entity (XXE) Injection عبر ملفات PDF مصممة خصيصًا تحتوي على كائنات XFA، وهو ما قد يؤدي إلى الوصول غير المصرح به إلى ملفات النظام أو حتى تنفيذ أوامر عن بُعد.
نطاق الثغرة وحزم Maven المتأثرة
الثغرة تؤثر على عدة وحدات رئيسية ضمن مكتبة Tika:
- tika-core بين الإصدارات 1.13 و3.2.1 (تم إصلاحها في الإصدار 3.2.2)
- tika-parser-pdf-module بين الإصدارات 2.0.0 و3.2.1 (تم إصلاحها في الإصدار 3.2.2)
- tika-parsers بين الإصدارات 1.13 و1.28.5 (تم إصلاحها في الإصدار 2.0.0)
هذه الحزم مستخدمة على نطاق واسع في تطبيقات تحليل المحتوى، ما يجعل الثغرة ذات أثر واسع النطاق على المؤسسات التي تعتمد على Tika لمعالجة المستندات.
علاقة الثغرة بالثغرات السابقة
بحسب الفريق، فإن الثغرة الجديدة مرتبطة بالثغرة السابقة CVE-2025-54988 (المصنفة بدرجة 8.4)، لكنها توسّع نطاق الحزم المتأثرة. ففي حين أن نقطة الدخول كانت عبر وحدة tika-parser-pdf-module، فإن الإصلاح الحقيقي كان في tika-core، ما يعني أن المستخدمين الذين حدثوا وحدة PDF فقط دون تحديث tika-core ظلوا عرضة للهجوم. كما أوضح الفريق أن الإصدارات القديمة (1.x) كانت تحتوي على PDFParser ضمن وحدة tika-parsers، وهو ما لم يُذكر في التقرير الأولي.
خطورة هجمات XXE
هجمات XXE تُعد من أخطر الثغرات في تطبيقات الويب، إذ تسمح للمهاجمين بالتلاعب بآلية معالجة البيانات بصيغة XML، ما يمكنهم من قراءة ملفات حساسة على الخادم، أو تنفيذ أوامر ضارة، أو حتى فتح الباب أمام هجمات أكثر تعقيدًا مثل سرقة بيانات الاعتماد أو السيطرة الكاملة على النظام.
توصيات عاجلة للمستخدمين
نظرًا لخطورة الثغرة، ينصح فريق Apache Tika جميع المستخدمين بتطبيق التحديثات فورًا إلى الإصدارات الآمنة (tika-core 3.2.2، tika-parser-pdf-module 3.2.2، tika-parsers 2.0.0). كما يُوصى بمراجعة الأنظمة التي تعتمد على هذه المكتبات للتأكد من عدم وجود استغلال نشط، خاصة في البيئات التي تتعامل مع ملفات PDF مجهولة المصدر.
