Atlassian corrigiu uma falha crítica no Apache Tika, CVE-2025-66516 (CVSS 10.0), que envolve produtos múltiplos da empresa e pode levar a vazamento de dados, SSRF, DoS e até RCE ao processar PDFs com XFA maliciosos.
As correções foram liberadas para Bamboo, Bitbucket, Confluence, Crowd, Fisheye/Crucible, Jira e Jira Service Management em seu boletim de segurança de 11 de dezembro de 2025, junto com cerca de outras 30 vulnerabilidades em dependências de terceiros.
CVE-2025-66516 no Apache Tika
CVE-2025-66516 é uma vulnerabilidade de XML External Entity (XXE) na forma como o Apache Tika processa formulários XFA embutidos em arquivos PDF, permitindo que entidades externas sejam resolvidas de forma indevida.
O bug relacionado aos módulos tika-core, tika-pdf-module e tika-parsers, e substitui/expande um aviso anterior (CVE-2025-54988) ao deixar claro que a raiz do problema e a correção estão em tika-core, o que significa que atualizar apenas o analisador de PDF não é suficiente.
Quando um PDF especialmente preparado é baseado em uma instância vulnerável do Tika, um atacante pode forçar a leitura de arquivos sensíveis no servidor, provocando negação de serviço via consumo de recursos ou uso do XXE para SSRF; em cenários específicos e mal configurados, isso pode ser codificado até a execução remota do código.
Qualquer aplicativo que permita upload de documentos para indexação, pré-visualização ou análise automática que use o Tika como backend fica potencialmente exposto.
Produtos Atlassian afetados e patches
A Atlassian confirmou que múltiplos produtos data center/servidor integram Apache Tika e, portanto, herdaram o risco: Bamboo, Bitbucket, Confluence, Crowd, Fisheye/Crucible, Jira e Jira Service Management.
O boletim de 11 de dezembro de 2025 traz versões corrigidas para todos esses produtos, com recomendações de atualização imediata aos lançamentos mínimos indicados para cada linha de versão.
O impacto é transversal porque as vulnerabilidades estão em bibliotecas de terceiros (como Apache Tika) usadas de forma compartilhada em todo o portfólio Atlassian; instâncias parcialmente atualizadas, que apenas elevaram alguns módulos sem alinhar o tika-core à versão 3.2.2 ou superior, permanecem vulneráveis.
Relatórios independentes estimam centenas de instâncias ainda expostas na internet devido a patches incompletos ou ausência de atualização.
Outras críticas em dependências
No mesmo ciclo, a Atlassian corrigiu CVE-2022-37601, uma vulnerabilidade de poluição de protótipo na biblioteca webpack loader-utils usada no Confluence, com CVSS 9.8.
Também foi corrigido CVE-2021-39227, outro bug de poluição de protótipo na biblioteca gráfica ZRender, afetando Jira e Jira Service Management, igualmente avaliado em 9.8.
Além disso, o boletim lista mais de duas ocorrências de falhas de alta severidade envolvendo DoS, XXE, SSRF, inclusão de arquivos, poluição de protótipo, autorização convidativa, exposição de informações, validação de entrada deficiente e caminhos de RCE.
Todas as dependências de terceiros incorporadas nas distribuições on-premises estão associadas, reforçando que a gestão de componentes de software de terceiros é um vetor crítico de risco para os clientes da Atlassian.
Recomendações para administradores Atlassian
A Atlassian orienta que clientes de Bamboo, Bitbucket, Confluence, Crowd, Fisheye/Crucible, Jira e Jira Service Management atualizem “o mais rápido possível” para as versões disponíveis no Security Bulletin de 11 de dezembro de 2025.
Ambientes que não podem fazer upgrade completo devem, no mínimo, validar se o Apache Tika foi atualizado de forma consistente (tika-core ≥ 3.2.2) e considerar medidas de compensação como segmentação de rede, restrição de acesso a arquivos sensíveis e filtros de saída para mitigar SSRF.
Para equipes de segurança, é preciso verificar fluxos de upload/análise de documentos em integrações com produtos Atlassian, monitorar processamento de PDFs suspeitos e buscar indicadores de exploração de XXE, como acessos internos inesperados disparados a partir dos servidores Atlassian.
Como a janela de exploração não requer experiência nem interação complexa do usuário, instâncias expostas à internet sem patch devem ser tratadas como prioridade de remediação imediata
