Apache Tika unter Beschuss: Kritische XXE-Lücke zwingt zu sofortigem Patch
Eine Sicherheitslücke der höchsten Schweregradstufe bedroht Apache Tika. Angreifer können über manipulierte PDF-Dateien eine XML External Entity-Injektion auslösen. Betroffene sollten sofort aktualisieren.
In Apache Tika ist eine schwerwiegende Schwachstelle entdeckt worden, die das Framework für Inhaltserkennung und Analyse in eine gefährliche Angriffsfläche verwandelt. Die Sicherheitslücke trägt die Kennung CVE-2025-66516 und erreicht auf der Skala für das Common Vulnerability Scoring System (CVSS) den Maximalwert von 10,0. Damit handelt es sich um eine Bedrohung, die unmittelbare Reaktion erfordert.
Auslöser der Schwachstelle liegt tief im Architekturkern
Laut Sicherheitswarnung erlaubt die kritische XML External Entity-Schwachstelle in den Apache Tika-Modulen tika-core (Versionen 1.13 bis 3.2.1), tika-pdf-module (Versionen 2.0.0 bis 3.2.1) sowie tika-parsers (Versionen 1.13 bis 1.28.5) auf allen Plattformen einem Angreifer, eine XML External Entity-Injektion über eine manipulierte XFA-Datei innerhalb einer PDF-Datei durchzuführen. Durch diese Technik können Angreifer die Verarbeitung externer Entitäten erzwingen und so auf interne Dateien des Servers zugreifen oder weitere Systeme angreifen.
Betroffen sind gleich mehrere zentrale Komponenten von Apache Tika:
- org.apache.tika:tika-core in allen Versionen ab Version 1.13 bis einschließlich Version 3.2.1. Die Schwachstelle wurde in Version 3.2.2 behoben.
- org.apache.tika:tika-parser-pdf-module in allen Versionen ab Version 2.0.0 bis einschließlich Version 3.2.1. Die Schwachstelle wurde in Version 3.2.2 behoben.
- org.apache.tika:tika-parsers in allen Versionen ab Version 1.13 bis unterhalb Version 2.0.0. Die Schwachstelle wurde in Version 2.0.0 behoben.
Der Angriffstyp XXE-Injektion ist seit Jahren ein ernstes Problem im Web. Anwendungen, die XML fehlerhaft verarbeiten, können dazu verleitet werden, lokale Dateien auszulesen oder Netzwerkverbindungen zu internen Systemen aufzubauen. In besonders gravierenden Fällen kann die Lücke sogar als Ausgangspunkt für entfernte Codeausführung dienen.
Massive Ausweitung der Angriffsfläche im Vergleich zu früherer Schwachstelle
Die neue Schwachstelle steht in direktem Zusammenhang mit einer bereits im August 2025 gepatchten Lücke: CVE-2025-54988 mit einem Schwerewert von 8,4. Beide Fehler basieren auf denselben Mechanismen, doch CVE-2025-66516 erweitert den betroffenen Umfang deutlich. Das Apache Tika-Team betont, dass der Einstiegspunkt für den Angriff zwar im Modul für PDF-Parsing lag, die eigentliche Verwundbarkeit aber in der Kernbibliothek steckte.
Damit waren auch Nutzer gefährdet, die zwar das Modul für PDF-Parsing aktualisiert hatten, jedoch nicht die Kernkomponente (auf Version 3.2.2 oder höher). Zusätzlich weist das Projektteam darauf hin, dass der Parser für PDF-Dateien in den älteren Tika-Versionen der Reihe 1.x im Paket „org.apache.tika:tika-parsers“ enthalten war, was im ursprünglichen Bericht nicht erwähnt wurde.
Angesichts der Tragweite und des Potenzials für Missbrauch lautet die klare Empfehlung: Systeme, die Apache Tika verwenden, müssen schnellstmöglich aktualisiert werden. Nur durch ein zeitnahes Einspielen der Patches lassen sich Angriffsflächen schließen und die Integrität der betroffenen Anwendungen bewahren.