CVE-2025-66516: XXE crítico no Apache Tika com CVSS 10.0
Descoberta e escopo / O que mudou agora
O The Hacker News reportou uma vulnerabilidade crítica em Apache Tika identificada como CVE-2025-66516 e classificada com pontuação CVSS 10.0 — o valor máximo na escala. A publicação indica que a falha é do tipo XML External Entity (XXE) e afeta módulos do projeto Tika em múltiplas versões e plataformas.
Versões afetadas
- tika-core: 1.13‑3.2.1
- tika-pdf-module: 2.0.0‑3.2.1
- tika-parsers: 1.13‑1.28.5
O artigo enfatiza que os módulos citados em todas as plataformas permitem a ocorrência de XXE — o texto disponível ao nosso apuramento não incluiu, porém, detalhes técnicos extensos sobre o vetor exato que leva à execução do XXE além da classificação geral.
Vetor e exploração / Mitigações
De acordo com o conteúdo do The Hacker News, a vulnerabilidade poderia resultar em injeção de XML External Entity. O veículo recomenda correção urgente — o título inclusive destaca que um patch é necessário imediatamente. A matéria disponível para esta apuração não lista versões corrigidas nem fornece os comandos de mitigação temporária; não encontramos na fonte instruções de contorno (workarounds) ou indicadores de compromisso (IOCs).
Impacto e alcance / Setores afetados
Apache Tika é amplamente utilizado para parsing e extração de conteúdo de arquivos em aplicações de busca, ingestão de dados e pipelines de processamento de documentos. Por isso, uma vulnerabilidade XXE de severidade máxima em módulos centrais pode afetar diversos produtos que incorporam Tika como biblioteca, em setores que vão de serviços de nuvem a plataformas empresariais e soluções de governança documental. O relatório do The Hacker News não fornece uma lista de fornecedores ou serviços que já incorporem as versões afetadas.
Limites das informações / O que falta saber
O material consultado é claro quanto à gravidade (CVSS 10.0) e às faixas de versões afetadas, mas não contém: (a) descrição técnica completa do vetor de exploração; (b) exemplos de exploração em liberdade; (c) versões publicamente divulgadas que contenham a correção; ou (d) recomendações detalhadas do Apache Software Foundation dentro do texto reproduzido. Em razão disso, administradores devem consultar o comunicado oficial do projeto Apache Tika e os advisories do Apache Software Foundation para obter pacotes corretos e instruções formais.
Recomendações práticas
- Verificar se sua base de código ou dependências utiliza qualquer das versões listadas de tika-core, tika-pdf-module ou tika-parsers;
- Isolar serviços que realizam parsing de arquivos em ambientes com controle rígido de rede e privilegiar análises em sandbox até a correção oficial;
- Monitorar canais oficiais do Apache Software Foundation e repositórios de pacotes (Maven Central, etc.) para disponibilidade do patch e notas de versão;
- Auditar logs e sistemas de ingestão em busca de requisições XML atípicas caso uma exposição pública seja identificada.
Próximos passos
Publicaremos atualização assim que houver divulgacões oficiais do Apache com versões corrigidas ou instruções de mitigação. Enquanto isso, equipes de segurança devem priorizar a identificação de aplicações que embutem Tika nas versões afetadas e planejar a aplicação de correções assim que liberadas.