De Apache Software Foundation ontdekte een ernstige beveiligingsfout in Apache Tika, een veelgebruikte open source-tool voor het analyseren en extraheren van metadata uit bestanden. De kwetsbaarheid heeft de maximale CVSS-score van 10.0 en kan misbruik mogelijk maken wanneer systemen niet volledig zijn bijgewerkt.
Apache Tika ondersteunt meer dan duizend bestandsformaten en wordt veel ingezet in zoekmachines, documentbeheersystemen en beveiligingssoftware. In augustus meldde Apache al een beveiligingsprobleem met een lagere ernst, waarbij aanvallers via een speciaal geprepareerd PDF-bestand een XML External Entity-aanval konden uitvoeren. Die kwetsbaarheid werd destijds verholpen, maar onlangs bleek dat het probleem breder lag dan aanvankelijk gedacht, meldt The Register.
Volgens Apache is nu vastgesteld dat een gerelateerde en ernstigere fout, geregistreerd als CVE-2025-66516, aanwezig is in een kernonderdeel van Tika. Het eerdere probleem was zichtbaar via de PDF-parsermodule, maar de onderliggende oorzaak zat in het centrale tiki-core component. Daardoor bleven gebruikers kwetsbaar wanneer zij alleen de parser bijwerkten en niet de kernbibliotheek. Pas vanaf versie 3.2.2 van tika-core is het probleem volledig opgelost.
Apache geeft aan dat de oorspronkelijke beveiligingsmelding onvolledig was. De melding maakte niet duidelijk hoe de verschillende Tika-modules in oudere versies waren opgebouwd. In oudere releases maakten PDF-parsers deel uit van een andere module-indeling. Dit droeg bij aan verwarring over welke updates noodzakelijk waren. In nieuwere versies is de structuur van het project vereenvoudigd, maar gebruikers moeten wel controleren of alle relevante onderdelen zijn bijgewerkt.
Beheerders die Apache Tika gebruiken, wordt dringend aangeraden te verifiëren welke versies in hun omgeving actief zijn en updates door te voeren waar nodig. Door de ernst van de kwetsbaarheid kan succesvolle exploitatie leiden tot vergaande gevolgen, afhankelijk van hoe Tika in onderliggende toepassingen is geïntegreerd.
Eerdere hack werd ontkend
De waarschuwing volgt kort op eerdere berichtgeving rond Apache. Begin november liet de Apache Software Foundation nog weten dat claims van de Akira-ransomwaregroep over een vermeende hack van Apache OpenOffice ongegrond waren. Volgens Apache was er geen sprake van een inbraak of datalek bij dat project.