أصدرت مؤسسة أباتشي CVE جديد لثغرة أمنية حرجة في أباتشي تيكا، مما يسلط الضوء على أهمية تحديث الأنظمة بشكل دوري.
أصدرت مؤسسة أباتشي (ASF) معرف CVE جديد لثغرة أمنية حرجة في أباتشي تيكا، لأن الكشف الأصلي عن الثغرة لم يتمكن من التقاط النطاق الكامل للمكونات المتأثرة وترك العديد من المستخدمين معرضين للخطر على الرغم من تطبيق التصحيح الموصى به.
تحديث CVE-2025-66516 الجديد (درجة CVSS: 10) CVE-2025-54988، وهي ثغرة حرجة في كيان XML الخارجي (XXE) التي تم الكشف عنها في أغسطس، والتي وصفت في ذلك الوقت بأنها تؤثر على أباتشي تيكا من الإصدار 1.13 حتى 3.2.1. يعالج CVE-2025-66516 نفس الثغرة الأساسية ولكنه يتضمن قائمة موسعة من الوحدات المغطاة ويوضح مكان وجود الثغرة بالضبط.
لا تزال معرضة لثغرة أباتشي تيكا
قالت مؤسسة أباتشي في وصف CVE-2025-66516: “المستخدمون الذين قاموا بترقية وحدة تحليل PDF ولكنهم لم يقوموا بترقية تيكا-كور إلى الإصدار 3.2.2 أو أعلى سيظلون معرضين للخطر”.
أباتشي تيكا هي أداة تحليل محتوى مفتوحة المصدر يمكنها التعرف تلقائيًا واستخراج النص والبيانات الوصفية من ملفات PDF وPowerPoint وExcel وWord ومئات من تنسيقات الملفات الأخرى. تشمل استخدامات الأداة فهرسة محركات البحث والترجمة وتغذية المحتوى في خطوط أنابيب الذكاء الاصطناعي.
عندما كشفت مؤسسة أباتشي عن CVE-2025-54988 في أغسطس، وصفت الثغرة بأنها تمكّن المهاجم من “تنفيذ حقن كيان XML خارجي عبر ملف XFA مصمم داخل PDF”. وصفت المؤسسة الثغرة بأنها موجودة في وحدة تحليل PDF، مما يسمح للمهاجم بقراءة بيانات حساسة، وتفعيل حالات رفض الخدمة، وإقامة اتصالات غير مصرح بها مع أنظمة داخلية وأطراف ثالثة معزولة. “لاحظ أن وحدة تحليل PDF تُستخدم كاعتماد في العديد من حزم تيكا، بما في ذلك على الأقل: حزم التحليل القياسية، حزمة التحليل القياسية، تيكا-أب، تيكا-grpc وتيكا-سيرفر-قياسي”، ذكّرت مؤسسة أباتشي المنظمات التي تستخدم الأداة.
قالت مؤسسة أباتشي إنها وسعت نطاق الثغرة وأصدرت CVE جديد لسببين حرجين. أولاً، بينما حدد CVE-2025-54988 وحدة تحليل PDF كنقطة دخول للثغرة وأوصى بترقية تلك المكون، فإن الثغرة الفعلية تكمن في تيكا-كور، حسبما ذكرت مؤسسة أباتشي. وبالتالي، فإن المنظمات التي قامت بترقية وحدة تحليل PDF فقط بعد الإشعار الأولي ولكنها فشلت في تحديث تيكا-كور إلى الإصدار 3.2.2 أو أحدث تظل معرضة للاستغلال، حسب تحذيرها.
ثانيًا، أغفل الإشعار الأصلي أن في إصدارات تيكا القديمة 1.x، كانت وحدة تحليل PDF موجودة في وحدة “org.apache.tika:tika-parsers” بدلاً من أن تكون مكونًا منفصلًا، كما ذكرت مؤسسة أباتشي. وهذا يعني أن مستخدمي إصدارات تيكا القديمة لم يكن لديهم توجيه واضح بشأن المكونات التي تحتاج إلى تصحيح.
أثر أوسع
تؤثر CVE-2025-66516 على كل من تيكا كور ووحدات تحليل تيكا من الإصدارات 1.13 حتى 3.2.1. كما تؤثر الثغرة على إصدارات وحدة PDF من تيكا من 1.13 قبل 2.0.0، و2.0.0 حتى 3.2.1. وقد قامت مؤسسة أباتشي بإصلاح المشكلة في تيكا 3.2.2 والإصدارات اللاحقة. تحتاج المنظمات إلى الترقية إلى تيكا كور إلى 3.2.2 أو أحدث للحماية من الثغرة. إن تحديث وحدة PDF فقط غير كافٍ وفقًا لمؤسسة أباتشي.
تعد CVE-2025-66516 مثالًا على كيفية خلق المكتبات المتأصلة مثل أباتشي تيكا مخاطر خفية عبر مؤسسات بأكملها بسبب الاعتمادات التبادلية المعقدة، حيث يعتمد مكون واحد على آخر. يمكن أن تؤدي الثغرات الحرجة في مثل هذه الأدوات إلى تأثير متسلسل عبر المؤسسة بأكملها. هذه واحدة من الأسباب التي تجعل خبراء الأمن يوصون بأن تحافظ المنظمات على قوائم مفصلة من مكونات البرمجيات (SBOM) وتطبيق أدوات مسح الاعتماد الآلي لتتبع جميع المكونات وترابطها.
تأكد من تحديث أباتشي تيكا إلى أحدث الإصدارات لحماية أنظمتك من الثغرات الأمنية المحتملة.
