Lỗ hổng CVE nghiêm trọng: XXE Injection trong Apache Tika

Hơn 565 phiên bản Apache Tika Server đang được phơi bày trên internet có nguy cơ bị tấn công bởi một lỗ hổng CVE nghiêm trọng. Cụ thể, đây là lỗ hổng tiêm nhiễm XML External Entity (XXE) có thể cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, khởi động các cuộc tấn công từ chối dịch vụ (DoS), hoặc thực hiện các hoạt động giả mạo yêu cầu phía máy chủ (SSRF).

Chi tiết về Lỗ hổng CVE-2025-66516 trong Apache Tika

Lỗ hổng này, được theo dõi dưới mã CVE-2025-66516, ảnh hưởng đến các phiên bản tika-core từ 1.13.0 đến 3.2.1 và đạt mức điểm CVSS tối đa là 10.0. Apache đã công bố lỗ hổng này vào ngày 4 tháng 12 năm 2025, gây ra mối lo ngại ngay lập tức trong các tổ chức sử dụng bộ công cụ phân tích nội dung phổ biến này.

Apache Tika là công cụ chuyên xử lý nhiều định dạng tài liệu khác nhau để trích xuất siêu dữ liệu và nội dung văn bản. Lỗ hổng XXE injection này cho phép kẻ tấn công khai thác bằng cách nhúng một tệp XFA độc hại vào bên trong một tài liệu PDF.

Khi Apache Tika xử lý tệp được chế tạo này, nó sẽ cho phép truy cập trái phép vào các tài nguyên nội bộ. Đây là một lỗ hổng CVE có thể gây ra những hậu quả nghiêm trọng nếu bị khai thác.

Tác động và Hệ quả của Khai thác XXE Injection

Khai thác thành công lỗ hổng CVE-2025-66516 cho phép kẻ tấn công từ xa đọc các tệp cấu hình, dữ liệu nhạy cảm hoặc các tệp bảo mật khác từ các máy chủ dễ bị tổn thương. Đây là rủi ro bảo mật lớn đối với các thông tin mật của tổ chức.

Ngoài ra, kẻ tấn công có thể làm cạn kiệt tài nguyên hệ thống để gây ra gián đoạn dịch vụ, dẫn đến các cuộc tấn công từ chối dịch vụ (DoS). Việc lạm dụng máy chủ để thực hiện các yêu cầu đến tài nguyên mạng nội bộ cũng là một khả năng.

Điều này có thể làm lộ các hệ thống backend, cơ sở dữ liệu hoặc các điểm cuối siêu dữ liệu đám mây vốn phải được bảo vệ phía sau tường lửa. Tác động của cuộc tấn công XXE này là rất rộng, từ việc rò rỉ dữ liệu đến chiếm quyền điều khiển.

Phạm vi Ảnh hưởng và Đánh giá Rủi ro bảo mật

Theo công ty nghiên cứu bảo mật Censys, tính đến tháng 12 năm 2025, đã xác định được 565 phiên bản Tika Server có khả năng bị tấn công và có thể truy cập từ internet. Con số này cho thấy quy mô của lỗ hổng CVE này.

Các hệ thống bị phơi nhiễm này trải rộng trên nhiều quốc gia và đại diện cho một bề mặt tấn công đáng kể. Các tác nhân đe dọa (threat actors) đang liên tục quét tìm các cài đặt chưa được vá lỗi, khiến đây là một nguy cơ bảo mật cấp bách.

Sự hiện diện của nhiều phiên bản Apache Tika bị phơi nhiễm làm tăng rủi ro về một cuộc tấn công mạng quy mô lớn khai thác lỗ hổng CVE này.

Biện pháp Khắc phục và Khuyến nghị Cập nhật để vá lỗ hổng CVE

Các tổ chức đang chạy Apache Tika Server cần nâng cấp tika-core lên phiên bản 3.2.2 hoặc mới hơn ngay lập tức. Đây là bản vá bảo mật quan trọng để khắc phục lỗ hổng CVE này.

Đối với các ứng dụng sử dụng Tika như một phần phụ thuộc (Maven dependency), cần cập nhật tika-parsers lên phiên bản 1.28.6 hoặc cao hơn, hoặc tika-pdf-module lên phiên bản 3.2.2 hoặc cao hơn.

Hiện tại, chưa có mã khai thác công khai (proof-of-concept exploit code) được phát hành và cũng chưa có báo cáo về việc khai thác tích cực tại thời điểm công bố. Tuy nhiên, mức độ nghiêm trọng của lỗ hổng CVE này và phương pháp tấn công tương đối đơn giản đòi hỏi các nhóm bảo mật phải ưu tiên vá lỗi trước khi kẻ tấn công phát triển các khai thác hoạt động.