Apache Tika存在嚴重XXE漏洞，惡意XFA PDF可遠端讀取伺服器資料

Apache基金會旗下文件內容分析工具Apache Tika爆出一項嚴重的XML外部實體（XML External Entity，XXE）漏洞，編號CVE-2025-66516，CVSS風險分數為10分滿分。攻擊者只要送出內嵌XFA（XML Forms Architecture）表單的惡意PDF檔，便可能在未經驗證且無須使用者互動的情況下，遠端讀取伺服器上的敏感資料或對內部系統發送請求。

Apache Tika是Java實作的開源內容分析工具，能從上千種檔案格式中抽取文字與中繼資料，常被整合進搜尋引擎、內容管理系統與各式資料處理平臺，處理使用者上傳檔案或批次匯入文件。該XXE漏洞通報指出，Tika核心模組tika-core、部分PDF專用模組tika-pdf-module，以及舊版1.x分支中的tika-parsers，都在特定版本區間內受到影響，整體涵蓋範圍從1.13一路延伸到3.2.1版，依各模組而有所不同。

該漏洞允許攻擊者在PDF嵌入特製XFA內容，誘使Tika在解析過程處理外部實體，進而透過XXE存取本機檔案或對內網與第三方服務發送請求，形成資訊外洩與伺服器端請求偽造（SSRF）風險。這類弱點視整體架構與權限設定，可能進一步被用來掌握更多系統資訊或影響服務可用性，但目前公開資料主要仍聚焦在敏感資料外洩與內部資源被濫用的情境，並未指稱已出現大規模攻擊案例。

這次新編號的CVE-2025-66516，官方說明是對八月公布的CVE-2025-54988的補充與更正。當時只點名PDF解析模組tika-parser-pdf-module中PDFParser處理XFA內容的問題，但後續調查發現，真正與修補相關的程式碼在tika-core中，同時舊版1.x分支的PDFParser其實隸屬於tika-parsers模組，並未被最初的CVE涵蓋。

由於Tika多被部署在後端服務中，負責處理大量文件，例如搜尋索引、電子郵件歸檔、企業內容管理與法遵稽核系統等。這些系統往往會自動解析使用者上傳或批次匯入的PDF，因此只要其中一個服務節點仍採用受影響版本，就有可能被惡意PDF觸發XXE，讓攻擊者繞過前端驗證，在文件處理層打開一條通往內部資源的通道。

GitHub公告指出，受影響的模組包含tika-core與tika-parser-pdf-module，修補版本皆為3.2.2，而Tika 1.x分支中的PDFParser的tika-parsers模組，受影響版本為1.13至1.28.5，修補版本則為2.0.0。對仍在使用Tika 1.x的環境，需要將相關依賴升級至Tika 2.x或3.x的版本，才能同時避開這次CVE與已EOL分支帶來的維護風險。