Adobe łata krytyczną lukę w Apache Tika używanym przez ColdFusion (CVE-2025-66516)

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja luki

Adobe opublikowało poprawki bezpieczeństwa dla ColdFusion 2025 i ColdFusion 2023, które usuwają krytyczną podatność odziedziczoną po bibliotece Apache Tika – popularnym silniku do analizy plików i ekstrakcji treści/metadata. Luka ma identyfikator CVE-2025-66516 i dotyczy mechanizmu parsowania PDF, w którym możliwy jest atak typu XXE (XML External Entity Injection), wyzwalany przez spreparowane elementy XFA osadzone w dokumencie PDF.

W skrócie

  • Co to jest: XXE w Apache Tika, możliwy do wywołania przez PDF z zawartością XFA.
  • Kogo dotyczy (ColdFusion):
    • ColdFusion 2025 Update 5 i starsze
    • ColdFusion 2023 Update 17 i starsze
  • Naprawione w: ColdFusion 2025 Update 6 oraz 2023 Update 18 (priorytet Adobe: 1 – pilna aktualizacja).
  • Potencjalne skutki udanego ataku (wg ostrzeżeń dot. Tika): wyciek informacji, SSRF, DoS, a w określonych scenariuszach choćby RCE.

Kontekst / historia / powiązania

Problem jest „supply-chainowy”: podatność leży w zależności (Apache Tika), którą wykorzystuje Adobe ColdFusion. Sama Tika opublikowała poprawkę na początku grudnia 2025, a Adobe dopiero w styczniu 2026 dostarczyło aktualizacje ColdFusion, które podbijają/aktualizują podatną zależność.

Warto też zwrócić uwagę, iż opis CVE wskazuje na powiązanie z wcześniejszym wpisem CVE-2025-54988: CVE-2025-66516 rozszerza zakres (m.in. akcentując, iż poprawka jest w tika-core, a nie tylko w module parsującym PDF, i iż w linii 1.x parser był w innym artefakcie Maven). To ma znaczenie dla zespołów, które „łatali punktowo” pojedynczy moduł zamiast całego tika-core.

Analiza techniczna / szczegóły luki

Mechanizm ataku (XXE przez XFA w PDF)

  • Atak XXE polega na tym, iż parser XML przetwarza zewnętrzne encje (np. odwołania do zasobów lokalnych lub URL), co może skutkować:
    • odczytem danych z systemu plików (np. plików konfiguracyjnych),
    • wykonaniem żądań sieciowych z wnętrza serwera (SSRF),
    • przeciążeniem zasobów (DoS),
    • a w zależności od kontekstu przetwarzania i dalszych łańcuchów – eskalacją do RCE.

Wersje podatne i poprawki po stronie Tika

Z publicznych opisów wynika, iż luka obejmuje m.in.:

  • org.apache.tika:tika-core w zakresie 1.13–3.2.1 (naprawione w 3.2.2),
  • oraz powiązane moduły parsowania PDF/„parsers” w zależności od linii wydań.

Skoring (CVSS) – dlaczego zobaczysz różne liczby

W praktyce możesz spotkać różne oceny „krytyczności” dla tej samej luki (inne wektory/założenia dot. zdalności i warunków ataku). Przykładowo, NVD pokazuje m.in. 9.8 (CRITICAL) w CVSS v3.1, podczas gdy CNA (ASF) ma inny wektor i bazową ocenę 8.4 (HIGH).
Dla zespołów operacyjnych ważniejsze od sporu o liczby jest to, że:

  • podatność dotyczy popularnego silnika parsowania dokumentów,
  • łatwo ją „dotknąć” w systemach przyjmujących nieufne pliki,
  • Adobe nadało poprawce ColdFusion priorytet 1.

Praktyczne konsekwencje / ryzyko

Jeśli Twój ColdFusion (lub inny komponent korzystający z Tika) przetwarza pliki dostarczane z zewnątrz (uploady, integracje, skrzynki wejściowe, automatyzacje), ryzyko rośnie znacząco:

  • Wyciek danych: XXE może próbować „wciągnąć” do odpowiedzi/parser-output treści wrażliwych plików lokalnych.
  • SSRF: serwer może wykonywać połączenia do usług wewnętrznych (np. metadane chmury, panele admin, bazy) — choćby jeżeli są niewystawione publicznie.
  • DoS: klasyczne wektory XXE potrafią zabić proces parsowania i zasoby.
  • Potencjalne RCE: SecurityWeek wskazuje, iż ostrzeżenia Tika dopuszczają scenariusz RCE jako możliwy skutek udanej eksploatacji (zależnie od środowiska i łańcucha).

Rekomendacje operacyjne / co zrobić teraz

1) Aktualizuj ColdFusion natychmiast (najważniejsze)

  • ColdFusion 2025 → Update 6
  • ColdFusion 2023 → Update 18

Adobe oznaczyło biuletyn jako Priority 1, co praktycznie oznacza „łatamy w pierwszej kolejności”.

2) Zweryfikuj miejsca, gdzie serwer przyjmuje i przetwarza pliki

Skoncentruj się na:

  • uploadach PDF i automatycznym indeksowaniu/analizie treści,
  • integracjach z DMS/ECM, skrzynkami mailowymi, workflow, które „same” parsują dokumenty,
  • endpointach, gdzie plik przechodzi przez ekstrakcję tekstu/metadata.

3) Ogranicz skutki ewentualnej próby XXE/SSRF (defense-in-depth)

  • Egress filtering: blokuj niepotrzebne wyjścia z serwera aplikacyjnego do internetu i sieci wewnętrznych (szczególnie do usług wrażliwych).
  • Segmentacja + minimalne uprawnienia: uruchamiaj ColdFusion na koncie o możliwie niskich uprawnieniach i ogranicz dostęp do systemu plików.
  • Monitoruj logi i anomalie: nietypowe próby przetwarzania PDF, błędy parsera, skoki użycia CPU/RAM, nietypowe połączenia wychodzące.

4) jeżeli nie możesz zaktualizować „dziś”

To sytuacja awaryjna — krótkoterminowo:

  • ogranicz/wyłącz funkcje przetwarzania nieufnych PDF,
  • odetnij możliwość uploadu PDF z internetu,
  • wprowadź blokady na warstwie WAF/reverse proxy dla podejrzanych wzorców uploadu i zwiększ obserwowalność ruchu.

Różnice / porównania z innymi przypadkami

CVE-2025-66516 vs CVE-2025-54988: to w praktyce „ta sama klasa problemu”, ale CVE-2025-66516 rozszerza i porządkuje zakres (kluczowe: poprawka w tika-core, różnice między linią 1.x i 2.x/3.x w artefaktach). To istotne, bo błędne „łatki zależności” (np. aktualizacja tylko parsera PDF bez core) mogą pozostawić system przez cały czas podatny.

Podsumowanie / najważniejsze wnioski

  • Adobe załatało w ColdFusion krytyczny problem pochodzący z Apache Tika: CVE-2025-66516 (XXE przez XFA w PDF).
  • Podatne są: ColdFusion 2025 Update 5 i starsze oraz ColdFusion 2023 Update 17 i starsze; naprawa: 2025 Update 6 i 2023 Update 18.
  • Jeśli Twój system przetwarza nieufne dokumenty, ryzyka obejmują wyciek danych, SSRF, DoS, a potencjalnie także RCE w sprzyjających warunkach.
  • Najlepsza strategia: aktualizacja + ograniczenie przetwarzania nieufnych plików + kontrola ruchu wychodzącego.

Źródła / bibliografia

  1. Adobe Security Bulletin: Security updates available for Adobe ColdFusion | APSB26-12 (Adobe Help Center)
  2. SecurityWeek: Adobe Patches Critical Apache Tika Bug in ColdFusion (SecurityWeek)
  3. NVD (NIST): CVE-2025-66516 (nvd.nist.gov)
  4. Apache Tika: Security (lista CVE, w tym CVE-2025-54988/XXE w PDFParser) (Apache Tika)
  5. GitHub Advisory Database: GHSA-f58c-gq56-vjjf / CVE-2025-66516 (zakres wersji, patched versions) (GitHub)
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Adobe łata krytyczną lukę w Apache Tika używanym przez ColdFusion (CVE-2025-66516)

Powiązane

Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 podatności w Windows, w tym atakowany zero-day

Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 poda...

20 godzin temu
Microsoft Patch Tuesday (styczeń 2026): 114 poprawek i 3 luki zero-day – jedna aktywnie wykorzystywana (CVE-2026-20805)

Microsoft Patch Tuesday (styczeń 2026): 114 poprawek i 3 luk...

1 dzień temu
SAP Security Patch Day: styczeń 2026 — 4 krytyczne luki (SQLi/RCE/Code Injection) i co zrobić w pierwszej kolejności

SAP Security Patch Day: styczeń 2026 — 4 krytyczne luki (SQL...

1 dzień temu
Podatność w aplikacji mobilnej Crazy Bubble Tea

Podatność w aplikacji mobilnej Crazy Bubble Tea

1 dzień temu
Podatność w oprogramowaniu Ysoft SafeQ 6

Podatność w oprogramowaniu Ysoft SafeQ 6

1 dzień temu
Nowe luki w Cisco Snort 3 zagrażają inspekcji ruchu sieciowego

Nowe luki w Cisco Snort 3 zagrażają inspekcji ruchu sieciowe...

1 dzień temu
Nowa Skoda Peaq wjeżdża do Polski: Pod maską "ósmy cud świata"

Nowa Skoda Peaq wjeżdża do Polski: Pod maską "ósmy cud świat...

2 dni temu
Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P26-004)

Podatności i aktualizacje do produktów firmy PHOENIX CONTACT...

2 dni temu