Une faille de sécurité majeure vient d’être découverte dans Apache Tika, l’un des outils les plus utilisés pour l’analyse automatique de contenus. Identifiée sous le nom CVE-2025-66516, cette vulnérabilité critique permet une attaque par injection XML External Entity (XXE). Classée avec un score CVSS de 10.0, le plus élevé possible, cette faille expose potentiellement les serveurs à des fuites de données sensibles ou à une exécution de code à distance. Si vous utilisez Apache Tika dans vos projets, il est impératif d’agir rapidement. Découvrez ici les détails de cette vulnérabilité XXE, quelles versions sont concernées, et comment se protéger efficacement avec les bonnes pratiques en cybersécurité.
Une faille XXE critique dans Apache Tika
Quels modules sont concernés par CVE-2025-66516 ?
La vulnérabilité touche plusieurs modules majeurs d’Apache Tika, un framework largement utilisé pour extraire et analyser le contenu de différents formats de documents, y compris les fichiers PDF. Le défaut réside spécifiquement dans la manière dont ces modules traitent les entités externes XML à l’intérieur d’un fichier PDF manipulé.
Voici les bibliothèques Maven concernées :
- org.apache.tika:tika-core : versions de 1.13 à 3.2.1 (corrigée en 3.2.2)
- org.apache.tika:tika-parser-pdf-module : versions de 2.0.0 à 3.2.1 (corrigée en 3.2.2)
- org.apache.tika:tika-parsers : versions de 1.13 à 1.28.5 (corrigée en 2.0.0)
Un exemple d’attaque via un fichier PDF XFA
L’attaque peut être déclenchée grâce à un fichier PDF contenant un formulaire XFA malicieusement conçu. Lorsque le fichier est traité par Tika, l’attaque XXE peut être exploitée pour lire des fichiers locaux sur le serveur, voire obtenir une exécution de code à distance. Les conséquences d’une telle attaque peuvent être dramatiques pour les organisations utilisant des traitements automatisés de documents dans leurs systèmes.
Une vulnérabilité plus large que prévu
Un rapprochement avec une faille précédente
Cette faille reprend les fondamentaux de CVE-2025-54988, une autre faille XXE dans Tika qui avait été corrigée en août 2025. Néanmoins, CVE-2025-66516 va plus loin. Elle démontre que la précédente correction était incomplète : seuls les utilisateurs ayant mis à jour tika-parser-pdf-module pensaient être protégés. Mais si tika-core n’avait pas été mis à jour vers la version 3.2.2, la faille persistait.
Une mauvaise segmentation des modules responsables
Un autre point important soulevé par l’équipe Apache Tika est que dans les versions 1.x de la bibliothèque, le composant PDFParser était intégré dans tika-parsers au lieu de tika-parser-pdf-module, ce qui compliquait encore la gestion des patchs. Cela montre combien les dépendances techniques peuvent vite devenir piégeuses, et pourquoi une veille constante en vulnérabilités open source est nécessaire.
Que faire pour se protéger efficacement ?
Mettre à jour immédiatement Tika
Pour contrer cette faille, la mise à jour vers les versions corrigées est la priorité numéro un. Il est recommandé de passer aux versions suivantes :
- tika-core : 3.2.2
- tika-parser-pdf-module : 3.2.2
- tika-parsers : 2.0.0
Cette action réduira significativement les risques liés aux attaques XXE, d’autant plus si Apache Tika est utilisé dans des environnements exposés ou traitant des fichiers provenant d’utilisateurs externes.
Approfondir ses compétences en sécurité applicative
Comprendre ce type de faille exige des connaissances techniques solides. Pour ceux qui souhaitent apprendre à hacker ou approfondir les failles logicielles comme XXE, SQLi ou XSS, notre livre pour apprendre le hacking est une ressource idéale. Il aborde les techniques utilisées par les attaquants, tout en proposant des méthodes pour s’en protéger dans une démarche éthique et pédagogique.
Notre équipe CyberCare accompagne quotidiennement ses clients dans la gestion proactive des vulnérabilités et la sécurisation de leurs environnements applicatifs face aux menaces comme les attaques XXE.
