Pengantar
Sebuah kerentanan keamanan serius yang sebelumnya diyakini telah ditambal pada perangkat lunak Apache Tika, ternyata memiliki cakupan yang lebih luas dan berbahaya dari perkiraan awal. Penjaga proyek (maintainer) baru-baru ini mengeluarkan peringatan mengenai dua kerentanan yang saling terkait.
Status dan Dampak Kerentanan
Kerentanan pertama, CVE-2025-54988, diumumkan pada Agustus 2025 dengan tingkat keparahan 8.4. Kerentanan ini memengaruhi modul tika-parser-pdf-module (versi 1.13 hingga 3.2.1) dan memungkinkan penyerang melakukan serangan injeksi XML External Entity (XXE) melalui file PDF berbahaya.
Namun, penjaga proyek kini menyadari bahwa masalahnya lebih luas. Kerentanan kedua, CVE-2025-66516, diumumkan pekan lalu dan dinilai dengan tingkat keparahan maksimum 10.0. Kerentanan ini merupakan “superset” atau perluasan dari kerentanan pertama, yang mencakup komponen Tika lainnya.
Komponen yang Terpengaruh oleh CVE-2025-66516:
- tika-core: versi 1.13 hingga 3.2.1
- tika-parsers: versi 1.13 hingga 1.28.5
- tika-parser-pdf-module: versi 1.13 hingga 3.2.1 (sama seperti CVE pertama)
Ini berarti organisasi yang telah memperbarui perangkat lunak mereka untuk mengatasi CVE-2025-54988 mungkin masih berisiko jika komponen tika-core atau tika-parsers yang mereka gunakan belum ditingkatkan ke versi yang aman.
Tindakan yang Harus Diambil
Untuk mengatasi kerentanan kritis ini, pengguna Apache Tika disarankan untuk segera mengambil langkah-langkah berikut:
- Perbarui ke Versi yang Aman: Tingkatkan ke tika-core versi 3.2.2, tika-parser-pdf-module versi 3.2.2, atau tika-parsers versi 2.0.0 (bagi yang menggunakan versi lawas).
- Waspadai Penggunaan Tersembunyi: Apache Tika sering digunakan sebagai pustaka di dalam aplikasi lain. Periksa dengan cermat semua aplikasi yang mungkin menggunakannya, karena keberadaannya bisa tidak tercatat dengan jelas.
- Mitigasi Sementara (Jika Patching Tidak Langsung Mungkin): Sebagai langkah darurat, pengembang dapat menonaktifkan kemampuan parsing XML dalam aplikasi mereka melalui file konfigurasi tika-config.xml.
Meskipun belum ada laporan bahwa kerentanan ini telah dieksploitasi secara aktif di internet, peringatan tingkat keparahan 10.0 menjadikan penerapan patch ini sebagai prioritas tinggi bagi semua pengguna. Risikonya diperkirakan akan meningkat dengan cepat jika konsep pembuktian (proof-of-concept) untuk mengeksploitasi celah ini mulai beredar.
