Atlassian 產品修補 Apache Tika 嚴重漏洞：影響範圍與應對

2025 年 9 月，Apache Tika 因 XML 外部實體（XXE）漏洞被曝出 CVE‑2025‑66516，CVSS 風險分數 10 / 10。此漏洞允許攻擊者透過嵌入 XFA 表單的惡意 PDF，未經驗證即可在伺服器上讀取敏感檔案、發送內部請求，甚至造成 SSRF 風險。Atlassian 於同日釋出修補包，更新內建 Tika 為 3.2.2 以上版本，並即時修補 Confluence、Jira、Bitbucket 等主流服務。

漏洞概述

• 影響模組：tika-core、tika-parser-pdf-module（含 1.x 分支的 tika-parsers）
• 受影響版本：1.13 － 3.2.1（依模組略有差異）
• 攻擊路徑：利用 XFA 內嵌外部實體，觸發 Tika 解析時讀取本機檔案或對內網服務發送 HTTP 請求 (SSRF)
• 潛在後果：機密資訊外洩、內部網路擴散、伺服器端請求偽造、系統可用性受損

(iThome)

受影響 Atlassian 產品

• Confluence Server / Data Center：使用 Tika 進行文件索引與搜尋
• Jira Server / Data Center：在附件處理與搜尋功能中調用 Tika
• Bitbucket Server：處理上傳的程式碼檔案與 PDF 產生索引
• Atlas、Opsgenie 等其他內部服務：若內部集成 Tika，亦需檢查版本

Atlassian 於 9 月 15 日公告，已將上述產品升級至 Tika 3.2.2，並在所有雲端服務上發布即時安全更新。

影響範圍與風險評估

若企業仍使用舊版 Tika，任何上傳或批次匯入 PDF 的服務節點均可能成為入侵入口。考量到 Tika 在搜尋引擎、內容管理、法遵稽核等多個關鍵環境的廣泛應用，風險層級可評為「高」。尤其在多租戶環境下，攻擊者可跨租戶訪問本機檔案或內網服務，對企業資料安全構成重大威脅。

Atlassian 立即修補措施

• 在 Atlassian 裝置上執行官方安全更新程式：atlassian-tomcat-version/bin/startup.sh 重新啟動服務。
• 確認 Tika 版本：mvn dependency:tree | grep tika-core 或在部署包內查找 tika-core-3.2.2.jar。
• 若使用 Docker 或 Kubernetes，更新相應映像：docker pull atlassian/product:latest。
• 在安全監控平台上新增告警規則：監控「檔案類型為 PDF，來源未知或不受信任」的上傳行為。

企業內部對策建議

• 檔案過濾與驗證：在上傳階段限制 PDF XFA 表單，或使用第三方 PDF 驗證工具掃描 XFA 欄位。
• 最小權限化：將 Tika 所在容器或服務帳戶設定最低必要權限，避免讀取系統檔案。
• 網路隔離：將 Tika 服務放入內網或使用防火牆規則阻止外部 HTTP(S) 請求。
• 定期版本審核：建立依賴管理流程，確保所有第三方庫保持最新安全版本。
• 加強 事件回應流程：若偵測到 XFA 相關異常，可即時隔離受影響節點並進行取證。

MITRE ATT&CK 對應

• T1190 – Exploitation for Client Execution（利用客戶端執行漏洞）
• T1195 – Supply Chain Compromise（若攻擊者利用推廣 Tika 版本作為投放點）
• T1071 – Exfiltration Over Command and Control Channel（利用 SSRF 進行資料外洩）

參考資料與原文來源

• Apache Tika 官方公告 – https://tika.apache.org/
• iThome 報導：Apache Tika 存在嚴重 XXE 漏洞，惡意 XFA PDF 可遠端讀取 – https://www.ithome.com.tw/news/172726
• GitHub Release – https://github.com/apache/tika/releases
• Atlassian 安全公告 – https://confluence.atlassian.com/security

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。