Apache Tika CVE-2025-66516 취약점

Apache Tika CVE-2025-66516 취약점

Apache Tika에서 신규 원격 코드 실행(RCE) 취약점인 CVE-2025-66516이 공개되면서 문서 분석 기능을 사용하는 모든 서버·백엔드 시스템에 보안 경고가 내려진 상황이다. 특히 PDF·Office·이미지 파일 등 사용자 업로드 파일을 처리하는 웹사이트에서 악성 문서를 이용한 공격 벡터가 현실적으로 가능해져 즉각적인 조치가 요구된다.

1️⃣ 취약점 개요

이번 CVE는 Tika의 특정 파서(Parser)가 입력값 검증 없이 외부 객체를 해석하면서 공격자가 삽입한 페이로드를 실행할 수 있게 되는 구조적 문제에서 발생한다. 파일 메타데이터 분석 과정에서 RCE로 이어질 수 있으며, 업로드 기반 서비스 대부분이 공격 대상이 될 수 있다.

• CVE 번호: CVE-2025-66516
• 영향 범위: Tika 기반 문서 파서 전체
• 공격 형태: 악성 문서 → Tika 파서 실행 → 원격 코드 실행(RCE)
• 인증 필요 여부: 불필요(Unauthenticated)
• 위험도: 매우 높음 (High / Critical 등급)

2️⃣ 원인 분석

문제의 핵심은 Tika 내부에서 사용되는 특정 파서가 문서 내부 객체(Object)와 스크립트 요소를 처리하는 과정에서 외부 명령을 호출할 수 있는 잠재적 경로를 제공했다는 점이다.

// 공격 유발 예시 구조 (개념도)
Document → Embedded Object → Metadata Handler → External Command Execution 가능성 발생
    

특히 PDF·ODF·XML 기반 파일 분석 과정에서 내부 스크립트·매크로·템플릿 객체가 잘못 처리될 경우 시스템 명령 호출로 이어진다는 것이 연구자 분석 결과로 드러났다.

3️⃣ 악용 가능 시나리오

공격자는 아래와 같은 단계로 시스템 제어 권한을 획득할 수 있다.

1. 악성 문서를 제작 (PDF, DOCX, ODT, 이미지 EXIF, 기타 포맷 등)
2. 문서를 웹 서비스에 업로드
3. Tika 파서가 파일을 분석하는 시점에 페이로드 실행
4. 서버 측에서 RCE 발생 → 내부 서버 장악 가능

// 실제 공격 흐름 예제 (개념)
curl -F "file=@exploit.pdf" https://service/upload
→ 서버 내부 Tika Parser 동작
→ /bin/sh 명령 실행 (공격자 페이로드)
    

4️⃣ 영향도

• 파일 업로드 기능이 있는 모든 웹서비스
• Spring + Tika 사용 웹 백엔드
• Python tika-python 바인딩 사용 시스템
• Node.js tika-wrapper 서비스
• 문서 자동 분석/검색 아카이빙 시스템 (Elasticsearch + Tika 기반)
• 그룹웨어/전자문서 시스템

특히 비인가 공격자가 단순히 "문서 업로드"만으로 RCE가 가능한 구조이므로, 매우 높은 심각도를 가진다.

5️⃣ 조치 방안

✔ 1) 보안 패치 적용

Apache Tika 팀은 CVE-2025-66516을 해결한 패치를 배포했다. 반드시 다음 버전 이상으로 업데이트해야 한다.

• Apache Tika Server / Core 최신 버전 적용
• 가능한 경우 Tika 2.x 이상 버전으로 업그레이드 권장

✔ 2) 업로드 파일 보안 정책 강화

• MIME 타입 검증 강화
• Sandbox 호스팅(Tika를 별도 격리 환경에서 실행)
• 문서 내부 스크립트/매크로 제거 필터 적용
• 파일 크기 및 구조 분석 규칙 적용

✔ 3) 시스템 로그 점검

아래 흔적이 보이면 이미 공격을 받은 것일 가능성이 있다.

• Tika parsing 중 시스템 명령 호출 로그
• PDF / DOCX 분석 단계에서 비정상적인 에러 발생
• /tmp, /var/tmp 경로에 임의 파일 생성 이력
• 외부 C2 서버로의 비정상 트래픽
    

6️⃣ 오류 분석 흐름도

[문서 업로드]
      ↓
[Tika Parser 분석 시작]
      ↓
[내부 객체 / 스크립트 분석]
      ↓
[취약 파서가 외부 실행 경로 호출]
      ↓
[원격 코드 실행(RCE)]
      ↓
[서버 장악 / 정보 유출 / 추가 공격]
    

7️⃣ 결론

Apache Tika는 다양한 서비스에서 사용되는 핵심 문서 파서이기 때문에, 이번 CVE-2025-66516은 업로드 기반 웹 애플리케이션 전반에 심각한 영향을 미친다. 단순 패치뿐 아니라 Tika를 가급적 격리 환경에서 실행하고, 파일 분석 단계에서 발생하는 로그 및 명령 실행 흐름을 강화된 정책으로 관리해야 한다.