511/68 (IT) ประจำวันจันทร์ที่ 8 ธันวาคม 2568
ช่องโหว่ที่มีความรุนแรงสูงสุดใน Apache Tika ที่หมายเลข CVE-2025-66516 มีคะแนน CVSS 10.0 เปิดทางให้ผู้โจมตีดำเนินการโจมตีแบบ XML External Entity (XXE) Injection ภายในโมดูลหลายส่วน ได้แก่ โมดูลหลัก (tika-core), โมดูล PDF (tika-pdf-module) และโมดูลตัวแยกไฟล์ (tika-parsers) ผู้โจมตีสามารถฝังไฟล์ XFA ที่ถูกปรับแต่งไว้ภายในไฟล์ PDF เพื่อบังคับให้ระบบประมวลผล external entities อันนำไปสู่การเข้าถึงข้อมูลหรือทรัพยากรภายในที่ควรถูกป้องกันได้ โดย Apache Tika เป็นเครื่องมือ open-source สำหรับวิเคราะห์เนื้อหาและดึงข้อมูลจากไฟล์หลากหลายรูปแบบ และถูกใช้อย่างแพร่หลายในระบบค้นหา (search indexing), document ingestion pipeline เช่น Apache Solr, Elasticsearch รวมถึงระบบ compliance และแพลตฟอร์มวิเคราะห์ข้อมูล ทำให้ช่องโหว่นี้มีความเสี่ยงสูงต่อองค์กรที่พึ่งพา Tika ในการประมวลผลไฟล์จำนวนมาก
ช่องโหว่ดังกล่าวมีความเชื่อมโยงกับ CVE-2025-54988 แต่การเปิดเผยล่าสุดได้ขยายขอบเขตการระบุแพ็กเกจที่ได้รับผลกระทบให้ครอบคลุมมากขึ้น โดยแม้ว่าช่องโหว่ถูกตรวจพบผ่านโมดูล PDF parser แต่สาเหตุและการแก้ไขอยู่ใน tika-core หากผู้ใช้งานอัปเดตเฉพาะ PDF module โดยไม่อัปเดต tika-core เป็นเวอร์ชัน 3.2.2 หรือสูงกว่า ระบบยังคงมีความเสี่ยงต่อการโจมตี นอกจากนี้ ใน Apache Tika เวอร์ชัน 1.x ตัว PDFParser อยู่ภายในโมดูล tika-parsers ส่งผลให้ขอบเขตของแพ็กเกจที่ได้รับผลกระทบกว้างกว่าที่เคยประกาศไว้
เวอร์ชันที่ได้รับผลกระทบ ได้แก่
– tika-core 1.13 – 3.2.1
– tika-parsers 1.13 ก่อน 2.0.0
– tika-parser-pdf-module 2.0.0 – 3.2.1
แนะนำให้ผู้ใช้งานเร่งอัปเดต Apache Tika เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เพื่อป้องกันการถูกโจมตีผ่านไฟล์ PDF ที่ฝัง XFA และลดความเสี่ยงจากการเข้าถึงทรัพยากรภายในระบบ
