Một lỗ hổng bảo mật Apache Tika nghiêm trọng đã được phát hiện, cho phép kẻ tấn công xâm nhập hệ thống bằng cách tải lên các tệp PDF được chế tạo đặc biệt. Các tổ chức trên toàn thế giới được khuyến nghị vá lỗi ngay lập tức.

Apache Tika là một bộ công cụ mã nguồn mở phổ biến, được hàng nghìn tổ chức sử dụng để trích xuất văn bản và siêu dữ liệu từ các tài liệu như PDF, tệp Word và hình ảnh.

Phân tích lỗ hổng bảo mật Apache Tika: XXE Injection

Các nhà nghiên cứu Apache đã xác định một lỗ hổng nghiêm trọng mà kẻ tấn công có thể khai thác bằng cách nhúng mã độc vào các tệp PDF. Lỗ hổng này xuất phát từ lỗi chèn XML External Entity (XXE).

Kẻ tấn công tạo tài liệu PDF chứa các tệp XFA (XML Forms Architecture) được chế tạo đặc biệt, kích hoạt lỗ hổng khi Tika xử lý chúng. Việc khai thác thành công lỗ hổng bảo mật Apache Tika này cho phép kẻ tấn công thực thi mã tùy ý (remote code execution), đánh cắp thông tin nhạy cảm hoặc giành quyền truy cập trái phép vào hệ thống.

Các phiên bản và thành phần Apache Tika bị ảnh hưởng

Lỗ hổng này ảnh hưởng đến ba thành phần của Apache Tika trên tất cả các hệ điều hành:

• Tika-core: Các phiên bản 1.13 đến 3.2.1 dễ bị tổn thương. Đây là thư viện cốt lõi chứa lỗi thực tế của lỗ hổng bảo mật Apache Tika.
• Tika-parsers: Các phiên bản 1.13 trước 2.0.0 bị ảnh hưởng. Module cũ này chứa chức năng phân tích cú pháp PDF.
• Tika PDF parser module: Các phiên bản 2.0.0 đến 3.2.1 dễ bị tổn thương. Đây là thành phần PDF chuyên dụng mới hơn. Lỗ hổng này mở rộng vượt ra ngoài CVE-2025-54988 ban đầu theo nhiều cách quan trọng.

Nhận diện sai lầm và Rủi ro tiềm ẩn cho hệ thống cũ

Đầu tiên, trong khi lỗ hổng dường như liên quan đến module phân tích cú pháp PDF, lỗi thực tế lại nằm ở Tika-core. Các tổ chức chỉ cập nhật trình phân tích cú pháp PDF mà không nâng cấp Tika-core vẫn dễ bị tấn công bởi lỗ hổng bảo mật Apache Tika.

Thứ hai, báo cáo ban đầu đã bỏ qua việc các bản phát hành Tika 1.x cũ hơn đóng gói trình phân tích cú pháp PDF trong module “tika-parsers” thay vì là một thành phần riêng biệt. Điều này có nghĩa là các hệ thống cũ có thể dễ bị tổn thương ngay cả khi người dùng tin rằng họ đã vá lỗi.

Biện pháp khắc phục và Cập nhật bản vá khẩn cấp cho lỗ hổng bảo mật Apache Tika

Hành động ngay lập tức là bắt buộc: Nâng cấp Tika-core lên phiên bản 3.2.2 hoặc mới hơn. Bản cập nhật bản vá này sẽ giải quyết lỗ hổng trên tất cả các thành phần.

Apache khuyến cáo các tổ chức sử dụng phiên bản 1.x cũ hơn nên liên hệ ngay với nhà cung cấp phần mềm để có các bản phát hành đã vá lỗi. Không chờ đợi các bản cập nhật tự động. Tham khảo thông báo chính thức từ Apache: Apache Security Advisory.

Là một biện pháp giảm thiểu tạm thời, hãy hạn chế tải lên tệp PDF từ các nguồn bên ngoài không đáng tin cậy cho đến khi hoàn tất việc vá lỗi.

Nâng cao rủi ro cho dữ liệu nhạy cảm

Các tổ chức xử lý tài liệu nhạy cảm, hồ sơ tài chính, giấy tờ pháp lý và dữ liệu cá nhân phải đối mặt với rủi ro cao từ lỗ hổng bảo mật Apache Tika này. Các nhà bảo trì Apache Tika đã phát hành các bản sửa lỗi, nhưng việc triển khai vẫn là yếu tố then chốt.

Các nhóm bảo mật nên ưu tiên bản vá này trong quy trình quản lý lỗ hổng của họ để bảo vệ hệ thống khỏi các cuộc tấn công khai thác lỗ hổng bảo mật Apache Tika.