RONDHUIT

お申し込み/お問い合わせ 無料セミナーのお申込み

INFORMATION
サブスクリプション

セキュリティ警告:Apache Solr extraction module vulnerable to XXE attacks via XFA content in PDFs (CVE-2025-66516)

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ Apache Solr extraction module vulnerable to XXE attacks via XFA content in PDFs
(訳:Apache Solrの抽出モジュールには、PDF内のXFAコンテンツを介したXXE攻撃に対する脆弱性が存在します)

重要度:

影響するバージョン:

  • Apache Solr 6.2.0 から 8.11.4(Solr抽出モジュールを使用している場合)(弊社RCSS: 2.3.0 から 4.3.1)
  • Apache Solr 9.0.0 から 9.10.0(Solr抽出モジュールを使用している場合)(Solr 9.0以降弊社RCSSは、Solr本体を同梱しておりません)

説明:

Solrの抽出モジュール(SolrCell)は、PDF ファイルからコンテンツを抽出するために Apache Tika を使用しています。Tika に存在する脆弱性により、攻撃者は特別に細工されたPDFを送信することで、サーバー上のファイルを読み取ることが可能になります。

影響を受ける対象:

  • 抽出モジュールを「local」バックエンド(デフォルト)で使用している Solr インスタンス
  • 信頼できないユーザーが、インデクシングのために PDF ファイルをアップロードできるシステム

影響を受けない対象:

  • 抽出モジュールを使用していない Solr インスタンス
  • Solr 9.10 において、TikaServer抽出バックエンドを使用しているデプロイメント

影響:

  • Solr 6.2~8.x:攻撃者は任意のシステムファイル(例: /etc/passwd、アプリケーションの機密情報)を読み取ることが可能。
  • Solr 9.x:Java Security Manager(デフォルトで有効)により、ファイルアクセスは Solr のディレクトリ内のみに制限され、影響は軽減されます。ただし、Solr の設定ファイルやインデックス済みデータは依然としてリスクにさらされます。
  • 全バージョン共通:サービス拒否(DoS)や、限定的なネットワークリクエストが発生する可能性があります。

回避策:

parseContext ファイルを設定することで、PDF における XFA フォームの解析を無効化してください。

手順 1:
configset の conf/ ディレクトリにある parseContext.xml を作成、または編集します。

<?xml version="1.0" ?>
<entries>
  <entry class="org.apache.tika.parser.pdf.PDFParserConfig" impl="org.apache.tika.parser.pdf.PDFParserConfig">
    <property name="extractAcroFormContent" value="false"/>
  </entry>
</entries>

手順 2:
solrconfig.xml の抽出ハンドラ内で、このファイルを参照するように設定します。

<requestHandler name="/update/extract" class="org.apache.solr.handler.extraction.ExtractingRequestHandler">
  <str name="parseContext.config">parseContext.xml</str>
</requestHandler>

手順 3:
コレクションをリロードするか、Solr を再起動してください。

注:Solr 9.10.1 以降(公開され次第)では、この回避策がデフォルトで含まれます。

クレジット:

Apache Tika Security Team (vulnerability discovery)

参考情報:

CVE – CVE-2025-66516 (CVE-2025-54988を置き換えるものです)
CVE – CVE-2025-54988(最初の報告)
NVD – CVE-2025-66516の分析
Apache Tika – CVE-2025-54988アドバイザリー(ログインが必要です)
SOLR-17888 – SOLR-17888

原文:

https://solr.apache.org/security.html#cve-2025-66516-apache-solr-extraction-module-vulnerable-to-xxe-attacks-via-xfa-content-in-pdfs

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

今後ともよろしくお願い申し上げます。

このエントリーをはてなブックマークに追加

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!