Atlassian łata krytyczną lukę Apache Tika (CVE-2025-66516). Co to oznacza dla Confluence, Jira, Crowd i innych? - Security Bez Tabu

Atlassian łata krytyczną lukę Apache Tika (CVE-2025-66516). Co to oznacza dla Confluence, Jira, Crowd i innych?

Wprowadzenie do problemu / definicja luki

Na początku grudnia 2025 r. ujawniono krytyczną podatność w Apache Tika – popularnym „uniwersalnym parserze” treści i metadanych. Błąd CVE-2025-66516 ma CVSS 10.0 i dotyczy sposobu obsługi XFA (XML Forms Architecture) osadzanego w plikach PDF. W sprzyjających warunkach prowadzi to do XXE (XML External Entity), a w konsekwencji do wycieku danych, SSRF, DoS, a nawet RCE. Atlassian zaktualizował zależności Tika w wielu produktach on-prem (Confluence, Jira, Jira Service Management, Bamboo, Crowd, Fisheye/Crucible, Bitbucket).

W skrócie

  • CVE-2025-66516 (CVSS 10.0): XXE w Apache Tika wyzwalane poprzez PDF z osadzonym XFA.
  • Wpływ na Atlassiana: podatność w zależności (Tika). Atlassian udostępnił wydania z podniesioną wersją Tika; ryzyko w produktach Atlassiana oceniono niżej niż „krytyczne”, ale aktualizacje są dostępne i zalecane.
  • Zakres wersji Tika: poprawka znajduje się w tika-core ≥ 3.2.2; rozszerzono zakres względem wcześniejszego CVE-2025-54988 (dot. modułu PDFParser), aby jasno objąć tika-core oraz linie 1.x/2.x.
  • Oficjalne ostrzeżenia i przeglądy: SecurityWeek i krajowe zespoły (np. CCB) podkreślają wagę aktualizacji i powiązanie z CVE-2025-54988.

Kontekst / historia / powiązania

W sierpniu 2025 r. zespół Tika załatał CVE-2025-54988 (XXE w PDFParser/XFA). W grudniu opublikowano CVE-2025-66516, które formalnie rozszerza poprzednie zgłoszenie: wskazuje, że wektor wejścia był w PDFParserze, ale właściwa podatność i poprawka dotyczą również „tika-core”. Użytkownicy, którzy zaktualizowali jedynie moduł PDF, lecz nie podnieśli „tika-core” do ≥ 3.2.2, nadal byli narażeni.

Analiza techniczna / szczegóły luki

  • Wektor ataku: napastnik przygotowuje plik PDF zawierający XFA z zewnętrznymi encjami XML. Gdy taki plik trafi do komponentu wykorzystującego Apache Tika (np. indeksowanie, ekstrakcja tekstu, podgląd załączników), parser XML niebezpiecznie rozwiązuje encje.
  • Skutki techniczne:
    • XXE / odczyt lokalnych plików (np. /etc/passwd).
    • SSRF – wysyłanie żądań z serwera do zasobów wewnętrznych (np. http://169.254.169.254/).
    • DoS – poprzez „entity expansion” lub inne sztuczki z XML.
    • RCE – w określonych, środowiskowo-zależnych konfiguracjach łańcucha (np. gdy dalsze komponenty błędnie przetwarzają dane z XXE).
  • Zakres komponentów Tika: tika-pdf-module / tika-parsers były punktem wejścia, ale podatność osadzona jest w „tika-core” – stąd konieczność podniesienia rdzenia do ≥ 3.2.2; w linii 1.x PDFParser był w „tika-parsers”, co również objęto korektą.

Praktyczne konsekwencje / ryzyko

  • Środowiska Atlassiana on-prem (DC/Server) przetwarzają załączniki i pliki użytkowników (Confluence, Jira/JSM). Jeśli instancja ocenia zawartość przez Tika, złośliwy PDF może eskalować do XXE/SSRF. Atlassian udostępnił wersje naprawcze we wszystkich głównych produktach; mimo niższej oceny ryzyka w konkretnych implementacjach Atlassiana, patchowanie jest konieczne.
  • Ekosystem poza Atlassianem: Tika jest osadzana w wyszukiwarkach treści, DMS, systemach e-discovery, pipeline’ach danych – ryzyko jest szerokie. Organy państwowe ostrzegają, że nawet po wcześniejszych aktualizacjach (po CVE-2025-54988) systemy mogą nadal być podatne, jeśli nie podniesiono rdzenia.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj produkty Atlassiana do wydań wskazanych w Security Bulletin z 11 grudnia 2025 (Confluence, Jira, Jira Service Management, Bamboo, Crowd, Fisheye/Crucible, Bitbucket). Atlassian rekomenduje m.in. Confluence 10.2.1 (LTS), Jira 11.3.0 (LTS) oraz odpowiadające im wersje LTS w gałęziach 8.x/9.x (szczegóły w tabeli biuletynu).
  2. Weryfikuj „tika-core” – niezależnie od modułu PDF musi być ≥ 3.2.2 (a w starszych liniach odpowiedniki naprawione). Jeśli używasz Tika bezpośrednio, podnieś rdzeń i przewień zależności transitivne.
  3. WAF/IDS/IPS: do czasu pełnej aktualizacji rozważ tymczasowe reguły blokujące XFA/XXE w PDF (np. dedykowane sygnatury dla Tika-XXE u dostawców).
  4. Hardening przetwarzania plików:
    • Wyłącz/ogranicz XFA w ścieżkach przetwarzania, jeśli to możliwe.
    • Uruchamiaj parsowanie w sandboxie (oddzielny proces/konto, brak dostępu do wrażliwych ścieżek i metadanych instancji chmurowych).
    • Blokuj ruch wychodzący z usług parsujących (egress control), aby zminimalizować SSRF.
    • Skany SCA: wymuś odświeżenie lockfile’i i weryfikację transitive deps.
    • Reguły DLP: monitoruj podejrzane odczyty plików systemowych w logach aplikacji.
  5. Detekcja/triage: przeszukaj logi pod kątem nietypowych błędów parsowania PDF, nietypowych zapytań HTTP wychodzących z węzłów aplikacyjnych oraz artefaktów XXE (np. próby odwołań do file://, http://169.254.169.254/).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CVE-2025-66516 vs. CVE-2025-54988: ten pierwszy inkorporuje i rozszerza drugi, wskazując właściwe miejsce błędu (tika-core) i szerszy zakres paczek. Efekt praktyczny: sama aktualizacja PDFParsera nie wystarcza – trzeba podnieść rdzeń.
  • XXE w innych parserach a Tika: tu wektor to PDF/XFA, co bywa mniej oczywiste w klasycznym „upload & index”. Ryzyko SSRF i wycieku IaaS metadata jest wysokie wszędzie tam, gdzie serwery mają dostęp do sieci wewnętrznej.

Podsumowanie / kluczowe wnioski

  • Nie wystarczy „załatać PDFParser” – kluczowe jest tika-core ≥ 3.2.2.
  • Instalacje Atlassian DC/Server: dostępne są konkretne wersje naprawcze – wdrażaj je priorytetowo.
  • Zabezpiecz egress i sandbox dla wszelkiego przetwarzania plików – to ograniczy skutki XXE/SSRF nawet przy błędach typu „day-1”.

Źródła / bibliografia

  • SecurityWeek: Atlassian Patches Critical Apache Tika Flaw (15 grudnia 2025). (SecurityWeek)
  • Atlassian: Security Bulletin – December 11, 2025 (wersje naprawcze dla Bamboo, Bitbucket, Confluence, Crowd, Fisheye/Crucible, Jira/JSM). (Atlassian Docs)
  • NVD: CVE-2025-66516 (rozszerzenie względem CVE-2025-54988, konieczność aktualizacji tika-core ≥ 3.2.2). (NVD)
  • Apache Tika – Security (zakres wcześniejszego CVE-2025-54988, kontekst parsera PDF/XFA). (tika.apache.org)
  • CCB Belgium: ostrzeżenie o krytycznej luce w Apache Tika i powiązaniu z CVE-2025-54988. (ccb.belgium.be)