CVE-2025-66516 : Vulnérabilité de sévérité maximale dans Apache Tika pouvant mener à une attaque par Injection d’Entité XML Externe
Une autre vulnérabilité de gravité maximale avec le score CVSS le plus élevé de 10,0 est apparue peu après la récente divulgation de React2Shell. Étiquetée CVE-2025-66516, la faille critique affectant Apache Tika pourrait exposer les systèmes à des attaques XML External Entity (XXE).
En 2025, les produits Apache ont été fréquemment ciblés en raison de nouvelles vulnérabilités découvertes. Au début de l’année, CVE-2025-24813 a démontré à quelle vitesse une faille critique d’Apache Tomcat pouvait être militarisée, avec des attaquants exploitant une désérialisation non sécurisée pour l’exécution de code à distance (RCE) sur des serveurs non corrigés dans les 30 heures suivant la divulgation. Quelques mois plus tard, deux autres vulnérabilités dans Apache Tomcat, CVE-2025-55752 et CVE-2025-55754, sont apparues, laissant à nouveau les systèmes exposés à de potentielles attaques RCE. À la fin de 2025, une autre faille critique d’Apache affectant un ensemble de composants Tika nécessite une ultra-réactivité des défenseurs pour réduire les risques d’exploitation.
Inscrivez-vous à la plateforme SOC Prime, la suite de produits non-propriétaire pour la défense en temps réel, pour explorer une vaste collection de contenus de détection de haute qualité et une intelligence native IA, soutenue par une expertise industrielle de premier plan, pour aider les équipes SOC à naviguer dans le paysage en constante évolution des cybermenaces. Cliquez sur Explorer les détections pour approfondir la pile de règles complète pour la détection d’exploitation de vulnérabilités, commodément filtrée par le tag personnalisé “CVE”.
Le contenu de détection peut être converti en dizaines de solutions SIEM, EDR et Data Lake de manière automatisée et est mappé avec MITRE ATT&CK®. Chaque élément de contenu est enrichi avec l’intelligence sur les menaces native IA, telles que CTI les références, les chronologies d’attaques, les configurations d’audit, les recommandations de triage, et plus de métadonnées pour une recherche de menaces simplifiée.
De plus, Uncoder AI aide les équipes de sécurité dans leurs opérations quotidiennes d’ingénierie de détection. Utilisez la solution pour convertir instantanément les IOCs en requêtes de chasse optimisées pour la performance, créer du code de détection à partir de rapports de menaces bruts, visualiser les Attack Flows, effectuer une traduction multi-plateforme, valider en douceur la syntaxe et la logique de détection, etc.
Analyse de CVE-2025-66516
Une vulnérabilité XXE de gravité maximale nouvellement divulguée, suivie sous le nom CVE-2025-66516, affecte plusieurs composants d’Apache Tika, y compris tika-core (1.13–3.2.1), tika-pdf-module (2.0.0–3.2.1), et tika-parsers (1.13–1.28.5), selon l’ avis du fournisseur. La faille permet aux attaquants de déclencher une injection d’entité externe XML en intégrant un fichier XFA malveillant à l’intérieur d’un PDF.
L’injection XXE est un type de faille de sécurité où les adversaires manipulent la manière dont une application traite l’entrée XML. Ce faisant, les acteurs de la menace peuvent obtenir un accès non autorisé aux fichiers sur le serveur et, dans certains scénarios, même exécuter du code à distance.
CVE-2025-66516 représente la même faiblesse sous-jacente que CVE-2025-54988 mais élargit considérablement le champ des paquets impactés. Bien que le CVE précédent ait identifié le point d’entrée dans le module tika-parser-pdf, la cause racine et la correction résident dans tika-core, ce qui signifie que les utilisateurs ayant mis à jour uniquement le parseur PDF sans passer à la version tika-core 3.2.2 ou ultérieure restent exposés. De plus, l’avis original n’a pas pris en compte la ligne de version 1.x, où le PDFParser réside dans le module “org.apache.tika:tika-parsers”.
Étant donné la gravité de cette faille et son impact élargi à travers l’écosystème Tika, les utilisateurs doivent mettre à jour tous les modules affectés en tant que mesures urgentes de mitigation CVE-2025-66516. SOC Prime organise sa plate-forme AI-Native Detection Intelligence pour aider les organisations mondiales à surclasser les menaces cybernétiques de toute sophistication, y compris les CVE émergents et les attaques de haut profil. En exploitant la suite de produits SOC Prime, les défenseurs peuvent intégrer l’ensemble du pipeline de la détection à la simulation directement dans leurs opérations de sécurité, profiter du plus grand ensemble de données d’intelligence de détection au monde pour rester en avance sur les dernières menaces, et explorer les avantages de l’approche innovante Shift-Left Detection pour maximiser l’efficacité des ressources.
