Dunia keamanan siber kembali dibuat waspada setelah ditemukannya sebuah celah keamanan kritis di Apache Tika, framework yang selama ini banyak dipakai untuk kebutuhan deteksi dan analisis konten. Celah ini bisa dimanfaatkan untuk melakukan serangan XML External Entity atau XXE injection, teknik eksploitasi yang terbilang berbahaya karena mampu membuka akses langsung ke sistem file server. Bahkan, dalam kondisi tertentu, serangan ini juga bisa berkembang menjadi remote code execution. Kerentanan tersebut tercatat dengan kode CVE-2025-66516 dan mendapatkan skor sempurna 10.0 pada skala CVSS, yang berarti tingkat risikonya berada di level paling tinggi.
Dari advisory resmi yang dirilis, diketahui bahwa kerentanan XXE ini berdampak pada sejumlah modul penting di Apache Tika. Modul-modul tersebut mencakup tika-core versi 1.13 hingga 3.2.1, tika-parser-pdf-module versi 2.0.0 hingga 3.2.1, serta tika-parsers versi 1.13 hingga sebelum 2.0.0. Celah ini memungkinkan penyerang menyisipkan file XFA berbahaya ke dalam dokumen PDF untuk kemudian menjalankan injeksi XML External Entity. Lewat cara tersebut, aplikasi dapat dipaksa memproses entitas eksternal berbahaya tanpa disadari oleh sistem.
Paket Maven yang terdampak juga cukup luas, mulai dari org.apache.tika:tika-core versi 1.13 sampai 3.2.1 yang kini telah diperbaiki di versi 3.2.2, hingga org.apache.tika:tika-parser-pdf-module versi 2.0.0 sampai 3.2.1 yang juga sudah ditambal di versi 3.2.2. Sementara itu, org.apache.tika:tika-parsers versi 1.13 sampai sebelum 2.0.0 now sudah diperbaiki di versi 2.0.0. Melihat seberapa luas Apache Tika digunakan di berbagai platform dan sistem produksi, potensi dampak dari celah ini jelas tidak bisa dianggap kecil.
Secara teknis, XXE injection merupakan jenis kerentanan yang muncul saat aplikasi memproses data XML tanpa perlindungan yang memadai. Dampaknya bisa sangat serius, mulai dari pembacaan file sensitif di server, pemetaan jaringan internal, hingga dalam beberapa skenario berujung pada eksekusi perintah dari jarak jauh. Dengan kata lain, hanya lewat satu file PDF berbahaya saja, penyerang sudah punya peluang besar untuk menembus sistem.
Menariknya, CVE-2025-66516 juga punya keterkaitan langsung dengan celah sebelumnya yang tercatat sebagai CVE-2025-54988, yang memiliki skor CVSS 8.4 dan sudah ditambal pada Agustus 2025. Tim Apache Tika menjelaskan bahwa CVE terbaru ini pada dasarnya merupakan perluasan dari dampak kerentanan yang sebelumnya belum sepenuhnya terungkap. Awalnya, titik masuk eksploitasi disebut berasal dari tika-parser-pdf-module. Namun setelah ditelusuri lebih dalam, ternyata akar masalah dan perbaikannya justru berada di modul tika-core. Artinya, pengguna yang hanya memperbarui tika-parser-pdf-module tanpa menaikkan versi tika-core ke 3.2.2 masih tetap berada dalam kondisi rentan.
Di sisi lain, laporan awal juga tidak menyebutkan bahwa pada rilis Apache Tika versi 1.x, komponen PDFParser berada di dalam modul org.apache.tika:tika-parsers. Fakta ini otomatis memperluas daftar pengguna yang berpotensi terdampak, terutama mereka yang masih mengandalkan versi lama untuk kebutuhan produksi. Dari sini bisa terlihat bahwa skala kerentanan ini ternyata jauh lebih besar dibanding perkiraan awal.
Dengan tingkat keparahan yang sangat tinggi, seluruh pengguna Apache Tika sangat disarankan untuk segera melakukan pembaruan ke versi yang telah ditambal. Menunda pembaruan sama saja dengan membuka peluang besar bagi eksploitasi di dunia nyata, terlebih teknik XXE dikenal relatif mudah untuk diuji dan dimanfaatkan oleh penyerang dari berbagai tingkat kemampuan.
Kasus CVE-2025-66516 kembali menjadi pengingat bahwa sumber serangan tidak selalu datang dari komponen utama aplikasi saja. Library pendukung yang selama ini dianggap aman karena bersifat open source dan digunakan secara luas pun tetap bisa menjadi titik lemah. Ketergantungan pada pustaka pihak ketiga tanpa pemantauan keamanan yang serius kini menjadi salah satu celah terbesar dalam pertahanan sistem modern.
Seiring meningkatnya tren eksploitasi berbasis dokumen seperti PDF dan XML, organisasi, pengembang, dan tim keamanan sudah tidak bisa lagi mengandalkan asumsi keamanan standar. Pembaruan rutin, audit dependensi, serta pengujian keamanan dari sisi input yang diproses aplikasi kini menjadi lapisan pertahanan penting untuk mencegah kebocoran data, pengambilalihan sistem, hingga potensi kerusakan infrastruktur digital dalam skala besar.