آسیب بحرانی XXE با شناسه CVE-2025-66516 (CVSS 10.0) آپاچی تیکا را تحت تأثیر قرار می‌دهد و نیاز به وصله فوری دارد.

  • 07 Dec 2025
  • News Code: 4629059
  • 43

آسیب بحرانی XXE با شناسه CVE-2025-66516 (CVSS 10.0) آپاچی تیکا را تحت تأثیر قرار می‌دهد و نیاز به وصله فوری دارد.

یک نقص امنیتی بحرانی در آپاچی تیکا افشا شده است که می‌توانست منجر به حمله تزریق موجودیت خارجی XML (XXE) شود.

این آسیب‌پذیری که با شناسه CVE-2025-66516 ردیابی می‌شود، در مقیاس امتیازدهی CVSS، امتیاز ۱۰.۰ را کسب کرده است که نشان‌دهنده حداکثر شدت می باشد.

XXE بحرانی در ماژول‌های آپاچی تیکا tika-core (1.13-3.2.1)، tika-pdf-module (3.2.1-2.0.0) و tika-parsers (1.28.5-1.13) در تمام پلتفرم‌ها به مهاجم اجازه می‌دهد تا تزریق موجودیت خارجی XML را از طریق یک فایل XFA دستکاری‌شده در داخل یک PDF انجام دهد.

این آسیب‌پذیری بسته‌های Maven زیر را تحت تأثیر قرار می‌دهد:

  • org.apache.tika:tika-core >= 1.13, <= 3.2.1 (در نسخه 3.2.2 وصله شده است.)
  • org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 ( در نسخه 3.2.2 وصله شده است)
  • org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (( در نسخه 2.0.0 وصله شده است.

تزریق XXE به یک آسیب‌پذیری امنیتی وب اشاره دارد که به مهاجم اجازه می‌دهد در پردازش داده‌های XML یک برنامه اختلال ایجاد کند. این امر به نوبه خود، امکان دسترسی به فایل‌های موجود در سیستم فایل سرور برنامه و در برخی موارد، حتی اجرای کد از راه دور را فراهم می‌کند.

آسیب پذیریCVE-2025-66516  که مشابه آسیب پذیری  CVE-2025-54988 (امتیاز CVSS: 8.4 ) می باشد ، یکی دیگر از نقص‌های XXE در چارچوب تشخیص و تحلیل محتوا است که توسط توسعه‌دهندگان پروژه در آگوست 2025 وصله شد. تیم آپاچی تیکا بیان کرد که این  CVE  جدید، دامنه بسته‌های آسیب‌پذیر را از دو طریق گسترش می‌دهد.

طبق گفته این تیم: "اولاً، در حالی که نقطه ورود این آسیب‌پذیری همانطور که در CVE-2025-54988  گزارش شده بود، ماژول tika-parser-pdf بود، آسیب‌پذیری و رفع آن در tika-core  قرار داشت. کاربرانی که ماژول tika-parser-pdf را ارتقا داده اما tika-core را به نسخه  3.2.2 =< ارتقا نداده‌اند، همچنان آسیب‌پذیر خواهند بود."

دوم اینکه، گزارش اصلی اشاره‌ای به این موضوع نکرده بود که در نسخه‌های 1.x Tika ، PDFParser  در ماژول "org.apache.tika:tika-parsers" قرار داشته است.

با توجه به بحرانی بودن این آسیب‌پذیری، به کاربران توصیه می‌شود در اسرع وقت به‌روزرسانی‌ها را اعمال کنند تا تهدیدات احتمالی را کاهش دهند.

منبع:

https://thehackernews.com/2025/12/critical-xxe-bug-cve-2025-66516-cvss.html

Share

خبرهای مرتبط

Результатов нет.