Uma falha crítica recentemente identificada no Apache Tika, classificada como CVE-2025-66516, expõe servidores a ataques silenciosos que exploram a funcionalidade de parsing de documentos. A vulnerabilidade afeta diferentes versões dos módulos tika-core, tika-pdf-module e tika-parsers, usados amplamente em sistemas que processam arquivos PDF.
O bug permite um ataque do tipo XXE (XML External Entity), em que um invasor pode utilizar um PDF especialmente construído com componentes XFA maliciosos para forçar o parser a acessar arquivos internos do sistema. O impacto pode variar de leitura não autorizada de dados até execução remota de código, dependendo da configuração do ambiente. O ataque ocorre de forma discreta, sem interação do usuário, e é especialmente perigoso em aplicações que analisam arquivos PDF enviados por terceiros, como sistemas de upload, automação de documentos ou serviços de extração de conteúdo.
A falha recebeu pontuação CVSS 10.0, a mais alta da escala, indicando criticidade extrema. Especialistas apontam que o problema é uma extensão de uma falha anterior (CVE-2025-54988), considerada parcialmente corrigida. Mesmo sistemas atualizados com a correção anterior continuam vulneráveis se o componente tika-core não for atualizado em conjunto com os demais módulos. Sistemas afetados incluem versões do Tika entre 1.13 e 3.2.1, além de aplicações que utilizam o Tika indiretamente, como frameworks de processamento de conteúdo e plataformas que integram ferramentas de análise de documentos. A recomendação é que equipes de cibersegurança revisem todas as dependências relacionadas ao Apache Tika e atualizem imediatamente para as versões corrigidas.
