Les clients d'Akamai sont protégés contre cette vulnérabilité depuis le 11 décembre 2025.
Synthèse
CVE-2025-66516 est une vulnérabilité critique de type XML External Entity (XXE), récemment découverte dans Apache Tika. Elle permet à des attaquants d'exploiter et d'abuser de contenus XFA spécialement conçus et intégrés dans des fichiers PDF. En raison d'une analyse XML non sécurisée dans tika-core, l'importation de documents PDF malveillants peut déclencher la résolution d'entités externes lors du traitement des fichiers, ce qui peut entraîner la divulgation de fichiers sensibles ou l'établissement de connexions réseau sortantes non désirées.
Cette vulnérabilité affecte plusieurs modules Tika et étend la portée d'un problème précédemment signalé, faisant de tout service qui analyse ou traite de manière non sécurisée des PDF non fiables avec Apache Tika une cible à très haut risque.
Akamai a déployé une règle rapide Akamai Adaptive Security Engine pour protéger ses clients contre ces menaces.
Informations sur cette vulnérabilité
Une faille critique liée à l'analyse XML a été découverte dans Apache Tika :
CVE-2025-66516 : injection d'entité externe XML (XXE) via des PDF spécialement conçus
Un attaquant peut intégrer du XML malveillant (contenu XFA) dans un fichier PDF et l'importer vers un serveur Web qui traite les documents avec Apache Tika. Une analyse XML non sécurisée peut conduire au développement involontaire d'entités externes pendant le traitement d'un fichier, ce qui permet au serveur Web de lire des fichiers internes ou de lancer des requêtes réseau sortantes non prévues.
Cela peut mener à l'exposition de données sensibles ou à la falsification de requête côté serveur (SSRF) dans les environnements qui traitent des documents non fiables, transformant ainsi un processus de numérisation documentaire de routine en surface d'attaque et en risque d'exposition des données.
Atténuation avec Akamai App & API Protector
Le 11 décembre 2025, Akamai a déployé une règle rapide Adaptive Security Engine pour les clients d'Akamai App & API Protector afin d'atténuer cette menace :
3000980 : détection de l'attaque Apache Tika XML External Entity (XXE) (CVE-2025-66516)
Résumé
Akamai a mis en place une nouvelle règle App & API Protector afin d'offrir une protection contre une vulnérabilité récemment découverte qui affecte plusieurs déploiements basés sur Apache Tika.
Toutefois, la mesure de protection la plus efficace reste l'application rapide des correctifs fournis par le fournisseur. En raison de la gravité de cette faille, il est impératif d'appliquer les correctifs dès que possible.
Restez à l'écoute
Le groupe Security Intelligence d'Akamai continuera de surveiller, générer des rapports et créer des mesures d'atténuation des menaces telles que celles-ci pour nos clients et la communauté de sécurité dans son ensemble. Pour rester au fait des dernières actualités du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.
Balises
