កំហុស XXE ធ្ងន់ធ្ងរ CVE-2025-66516 (CVSS 10.0) វាយប្រហារ Apache Tika ទាមទារការជួសជុលបន្ទាន់

ចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់មួយត្រូវបានបង្ហាញនៅក្នុង Apache Tika ដែលអាចបណ្តាលឱ្យមានការវាយប្រហារចាក់បញ្ចូល XML external entity (XXE)។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-66516 ត្រូវបានវាយតម្លៃ 10.0 លើមាត្រដ្ឋានពិន្ទុ CVSS ដែលបង្ហាញពីភាពធ្ងន់ធ្ងរអតិបរមា។

យោងតាមការណែនាំសម្រាប់ចំណុចខ្សោយនេះ "XXE ដ៏សំខាន់នៅក្នុងម៉ូឌុល Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) និង tika-parsers (1.13-1.28.5) នៅលើគ្រប់វេទិកាទាំងអស់ អនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តការចាក់បញ្ចូល XML External Entity តាមរយៈឯកសារ XFA ដែលបង្កើតឡើងនៅខាងក្នុង PDF"។

វាប៉ះពាល់ដល់កញ្ចប់ Maven ដូចខាងក្រោម -

-org.apache.tika:tika-core >= 1.13, <= 3.2.1 (បានជួសជុលនៅក្នុងកំណែ 3.2.2)

-org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (បានជួសជុលនៅក្នុងកំណែ 3.2.2)

-org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (បានជួសជុលនៅក្នុងកំណែ 2.0.0)

ការចាក់ XXE សំដៅទៅលើភាពងាយរងគ្រោះនៃសុវត្ថិភាពគេហទំព័រដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារជ្រៀតជ្រែកជាមួយដំណើរការទិន្នន័យ XML របស់កម្មវិធី។ នេះធ្វើឱ្យវាអាចចូលប្រើឯកសារនៅលើប្រព័ន្ធឯកសារម៉ាស៊ីនបម្រើកម្មវិធី ហើយក្នុងករណីខ្លះថែមទាំងសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយទៀតផង។

CVE-2025-66516 ត្រូវបានវាយតម្លៃថាដូចគ្នាទៅនឹង CVE-2025-54988 (ពិន្ទុ CVSS: 8.4) ដែលជាចំណុចខ្វះខាត XXE មួយទៀតនៅក្នុងក្របខ័ណ្ឌរកឃើញ និងវិភាគខ្លឹមសារ ដែលត្រូវបានជួសជុលដោយអ្នកថែទាំគម្រោងនៅក្នុងខែសីហា ឆ្នាំ 2025។ ក្រុម Apache Tika បាននិយាយថា CVE ថ្មីពង្រីកវិសាលភាពនៃកញ្ចប់ដែលរងផលប៉ះពាល់តាមវិធីពីរយ៉ាង។

ក្រុមនេះបាននិយាយថា "ទីមួយ ខណៈពេលដែលចំណុចចូលសម្រាប់ចំណុចងាយរងគ្រោះគឺ tika-parser-pdf-module ដូចដែលបានរាយការណ៍នៅក្នុង CVE-2025-54988 ភាពងាយរងគ្រោះ និងការជួសជុលរបស់វាគឺស្ថិតនៅក្នុង tika-core"។ "អ្នកប្រើប្រាស់ដែលបានធ្វើឱ្យប្រសើរឡើងនូវ tika-parser-pdf-module ប៉ុន្តែមិនបានធ្វើឱ្យប្រសើរឡើងនូវ tika-core ទៅ >= 3.2.2 នឹងនៅតែងាយរងគ្រោះ"។

"ទីពីរ របាយការណ៍ដើមមិនបាននិយាយអំពីថានៅក្នុងការចេញផ្សាយ 1.x Tika នោះ PDFParser គឺស្ថិតនៅក្នុងម៉ូឌុល "org.apache.tika:tika-parsers""។

ដោយសារភាពធ្ងន់ធ្ងរនៃភាពងាយរងគ្រោះនេះ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យអនុវត្តការអាប់ដេតឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន ដើម្បីកាត់បន្ថយការគំរាមកំហែងដែលអាចកើតមាន។