CVE-2025-66516: Vulnerabilità di Gravità Massima in Apache Tika Potrebbe Portare a un Attacco di Iniezione di Entità Esterni XML (XXE)

Un’altra vulnerabilità di massima gravità con il punteggio CVSS più alto di 10.0 è emersa poco dopo la recente divulgazione di React2Shell. Etichettata CVE-2025-66516, la falla critica che colpisce Apache Tika potrebbe esporre i sistemi ad attacchi XXE (XML External Entity).

Nel 2025, i prodotti Apache sono stati ripetutamente bersaglio a causa di nuove vulnerabilità scoperte. All’inizio dell’anno, CVE-2025-24813 ha dimostrato quanto rapidamente una falla critica in Apache Tomcat potesse essere armata, con attaccanti che sfruttavano la deserializzazione non sicura per RCE su server non aggiornati entro sole 30 ore dalla divulgazione. Mesi dopo, altre due vulnerabilità in Apache Tomcat, CVE-2025-55752 e CVE-2025-55754, sono emerse, lasciando nuovamente i sistemi esposti a potenziali attacchi RCE. Alla fine del 2025, un’altra falla critica di Apache che colpisce una serie di componenti di Tika richiede ultra-reattività dai difensori per ridurre i rischi di sfruttamento. 

Iscriviti alla piattaforma SOC Prime, la suite di prodotti agnostici rispetto al fornitore per la difesa in tempo reale, per esplorare un’ampia collezione di contenuti di rilevazione di alta qualità e un’intelligenza nativa AI, supportata da esperti del settore per aiutare i team SOC a navigare nel panorama delle minacce informatiche in continua evoluzione. Clicca su Esplora Rilevazioni per esaminare lo stack di regole completo per il rilevamento delle vulnerabilità comodamente filtrato tramite il tag personalizzato “CVE”. 

Esplora Rilevazioni

I contenuti di rilevazione possono essere convertiti in decine di soluzioni SIEM, EDR e Data Lake in modo automatizzato e sono mappati con MITRE ATT&CK®. Ogni elemento di contenuto è arricchito con intelligenza sulla minaccia nativa AI, come CTI riferimenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni per il triage e altro metadata per una ricerca delle minacce più efficiente.

Inoltre, Uncoder AI assiste i team di sicurezza nelle loro operazioni quotidiane di ingegneria della rilevazione. Utilizza la soluzione per convertire istantaneamente gli IOC in ricerche di caccia ottimizzate per le prestazioni, sviluppare codice di rilevazione da rapporti di minacce grezzi, visualizzare i Flussi di Attacco, eseguire traduzioni cross-platform, convalidare senza soluzione di continuità la sintassi e la logica di rilevazione, ecc. 

Analisi CVE-2025-66516

Una recentemente divulgata vulnerabilità di massima gravità XXE tracciata come CVE-2025-66516 colpisce diversi componenti di Apache Tika, inclusi tika-core (1.13–3.2.1), tika-pdf-module (2.0.0–3.2.1), e tika-parsers (1.13–1.28.5), secondo l’ avviso del fornitore. La falla permette agli attaccanti di innescare iniezioni di XML External Entity incorporando un file XFA dannoso all’interno di un PDF. 

L’iniezione XXE è un tipo di falla di sicurezza in cui gli avversari manipolano come un’applicazione gestisce l’input XML. Facendo ciò, gli attori di minacce potrebbero ottenere accesso non autorizzato ai file sul server e, in alcuni scenari, persino eseguire codice da remoto.

CVE-2025-66516 rappresenta la stessa debolezza sottostante di CVE-2025-54988 ma amplia significativamente l’ambito dei pacchetti impattati. Sebbene il precedente CVE avesse identificato il punto di ingresso nel tika-parser-pdf-module, la causa principale e la soluzione risiedono in tika-core, il che significa che gli utenti che hanno aggiornato solo il parser PDF senza passare alla versione tika-core 3.2.2 o successiva rimangono esposti. Inoltre, l’avviso originale non ha tenuto conto della linea di rilascio 1.x, dove PDFParser risiede nel modulo “org.apache.tika:tika-parsers”.

Data la gravità di questa falla e il suo impatto espanso nell’ecosistema Tika, gli utenti dovrebbero aggiornare tutti i moduli coinvolti come misure urgenti di mitigazione CVE-2025-66516. SOC Prime cura la sua AI-Native Detection Intelligence Platform per aiutare le organizzazioni globali a superare le minacce informatiche di qualsiasi complessità, comprese le CVE emergenti e gli attacchi di alto profilo. Sfruttando la suite di prodotti SOC Prime, i difensori possono integrare l’intera pipeline dalla rilevazione alla simulazione direttamente nelle loro operazioni di sicurezza, trarre vantaggio dal più grande dataset di intelligenza di rilevazione del mondo per stare al passo con le minacce più recenti, ed esplorare i benefici dell’innovativo approccio di rilevazione Shift-Left per massimizzare l’efficacia delle risorse.