CVE-2025-66516: Apache Tika의 최대 심각도 취약점, XML 외부 엔티티 삽입 공격 유발 가능성

최근 공개된 React2Shell 취약점에 대한최고 수준의 심각도를 가진 또 다른 취약점이 CVSS 점수 10.0으로 등장했습니다. CVE-2025-66516로 레이블 지정된 이 중대한 결함은 Apache Tika에 영향을 미쳐 시스템을 XML 외부 엔티티(XXE) 공격에 노출시킬 수 있습니다.

2025년에는 새로운 취약점이 발견되면서 Apache 제품이 반복적으로 공격 대상이 되었습니다. 그 해 초에, CVE-2025-24813 는 중요한 Apache Tomcat 결함이 얼마나 빠르게 무기화될 수 있는지를 보여주었으며, 공격자들은 공개 후 30시간 만에 패치되지 않은 서버에서 원격 코드 실행(RCE)을 위해 안전하지 않은 역직렬화를 악용했습니다. 몇 달 후, Apache Tomcat에서 다시 두 가지 취약점, CVE-2025-55752와 CVE-2025-55754가 발견되어 시스템이 잠재적인 RCE 공격에 노출되었습니다. 2025년 말에는 Tika 구성 요소 세트에 영향을 미치는 또 다른 Apache의 중대한 결함이 발견되어 방어자들이 위험을 줄이기 위해 신속히 대응해야 했습니다. 

SOC Prime 플랫폼에 가입하여 벤더-중립적 제품 모음을 통해 실시간 방어를 탐색하고 높은 품질의 탐지 콘텐츠와 AI-기반 인텔리전스를 활용하여 지속적으로 변화하는 사이버 위협 환경을 탐색할 수 있습니다. 클릭하세요 탐지 탐색 하여 사용자 정의 ‘CVE’ 태그로 필터링된 취약점 익스플로잇 탐지를 위한 포괄적인 규칙 스택을 자세히 살펴보세요. 

탐지 탐색

탐지 콘텐츠는 수십 가지의 SIEM, EDR 및 데이터 레이크 솔루션으로 자동화된 방식으로 변환될 수 있으며, 이는 MITRE ATT&CK®과 매핑됩니다. 각 콘텐츠 항목은 CTI 참조, 공격 타임라인, 감사 구성, 긴급 조치 권장 사항 및 보다 간소화된 위협 연구를 위한 추가 메타데이터로 강화됩니다.

더불어, Uncoder AI 는 일상적인 탐지 엔지니어링 작업을 보조합니다. 이 솔루션을 사용하면 IOC를 즉시 성능 최적화된 검색 쿼리로 변환하고 원시 위협 보고서에서 탐지 코드를 작성하며, 공격 흐름을 시각화하고, 크로스 플랫폼 번역을 수행하고, 구문 및 탐지 논리를 검증하는 등 다양한 작업을 원활하게 수행할 수 있습니다. 

CVE-2025-66516 분석

새로 공개된 최대 심각도 XXE 취약점으로 추적되는 CVE-2025-66516은 tika-core (1.13–3.2.1), tika-pdf-module (2.0.0–3.2.1), 그리고 tika-parsers (1.13–1.28.5)를 포함한 다수의 Apache Tika 구성 요소에 영향을 미칩니다. 이는 해당 벤더의 권고사항에 따라, 공격자가 악성 XFA 파일을 PDF에 포함시켜 XML 외부 엔티티 주입을 유발할 수 있도록 합니다. 

XXE 주입은 애플리케이션이 XML 입력을 처리하는 방식을 조작하여 보안 결함을 일으키는 유형입니다. 이를 통해 위협 행위자는 서버의 파일에 대한 무단 접근 권한을 얻거나, 특정 시나리오에서는 원격으로 코드를 실행할 수도 있습니다.

CVE-2025-66516 는 CVE-2025-54988과 동일한 기본적인 취약점을 나타내지만, 영향을 받은 패키지의 범위가 상당히 넓어졌습니다. 이전 CVE는 tika-parser-pdf-module의 진입점을 식별했지만, 근본 원인과 수정은 tika-core에 있으며, PDF 파서를 최신 버전인 tika-core 3.2.2 이상으로 업그레이드하지 않은 사용자는 여전히 노출됩니다. 또한, 원래의 권고사항은 PDFParser가 “org.apache.tika:tika-parsers” 모듈에 위치한 1.x 릴리즈 라인을 고려하지 않았습니다.

이 결함의 심각성과 Tika 생태계 전반에 걸친 영향력을 고려할 때, 사용자들은 영향받은 모든 모듈을 긴급 CVE-2025-66516 완화 조치로 업데이트해야 합니다. SOC Prime은 글로벌 조직이 어느 수준의 사이버 위협도 초월할 수 있도록 AI-기반 탐지 인텔리전스 플랫폼을 수정합니다. 새롭게 등장하는 CVE와 고난이도 공격을 포함하여, SOC Prime의 제품 모음을 활용하면 방어자들은 탐지부터 시뮬레이션까지의 전체 파이프라인을 보안 작업에 직접 통합할 수 있으며, 세계 최대의 탐지 인텔리전스 데이터 세트를 활용하여 최신 위협에 앞서나가고, 혁신적인 Shift-Left Detection 접근 방식의 이점을 탐색하여 리소스 효과성을 극대화할 수 있습니다.