Los clientes de Akamai están protegidos contra esta vulnerabilidad desde el 11 de diciembre de 2025.
Resumen ejecutivo
CVE-2025-66516 es una vulnerabilidad crítica de entidad externa XML (XXE) recientemente identificada en Apache Tika, que permite a los atacantes explotar y abusar del contenido XFA incluido en archivos PDF. El problema radica en el análisis inseguro de XML en Tika, lo que permite que los documentos PDF maliciosos cargados puedan activar la resolución de entidades externas durante el procesamiento. Esto podría resultar en la divulgación no autorizada de archivos confidenciales o permitir el acceso indebido a la red.
Esta vulnerabilidad afecta e impacta a varios módulos de Tika y amplía la magnitud de un problema previamente informado. Como resultado, cualquier servicio que procese archivos PDF provenientes de fuentes no fiables de manera insegura con Apache Tika se convierte en un objetivo de muy alto riesgo.
En Akamai hemos implementado una regla rápida del motor de seguridad adaptable para proteger a nuestros clientes de estas amenazas.
Detalles de la vulnerabilidad
Se ha descubierto un defecto crítico de análisis XML en Apache Tika:
CVE-2025-66516: Inyección de entidad externa XML (XXE) a través de PDF diseñados especialmente para tal fin
Un atacante puede incrustar XML (contenido XFA) malicioso dentro de un PDF y cargarlo en un servidor web que procese documentos con Apache Tika. El análisis de XML inseguro puede provocar que las entidades externas se expandan accidentalmente durante el procesamiento de archivos, lo que permite al servidor web leer archivos internos o permitir solicitudes de acceso a la red no autorizadas.
De esta forma, se podrían filtrar datos confidenciales o falsificar solicitudes del lado del servidor (SSRF) en entornos que gestionan documentos que no son de confianza. Esto afectaría al análisis rutinario de documentos, que pasaría a convertirse en una superficie de ataque y un riesgo de filtración de datos.
Mitigación con Akamai App & API Protector
El 11 de diciembre de 2025, Akamai implementó una regla rápida del motor de seguridad adaptable para ofrecer opciones de mitigación a los clientes de Akamai App & API Protector:
3000980: Se ha detectado un ataque de entidad externa XML (XXE) en Apache Tika (CVE-2025-66516)
Resumen
Akamai ha publicado una nueva regla de App & API Protector para ofrecer protección contra una vulnerabilidad recientemente identificada que afecta a varias implementaciones basadas en Apache Tika.
No obstante, la defensa más eficaz será siempre aplicar rápidamente los parches proporcionados por el proveedor. Dada la gravedad de este problema, los parches deberían aplicarse lo antes posible.
Manténgase informado
El grupo de inteligencia sobre seguridad de Akamai seguirá supervisando, informando y creando mitigaciones para amenazas de este tipo tanto para nuestros clientes como para la comunidad de seguridad en general. Para mantenerse al día con más noticias de última hora del grupo de inteligencia de seguridad de Akamai, consulte nuestra página de investigación y síganos en las redes sociales.
Etiquetas
