CVE-2025-66516: rilevamento e difesa dagli attacchi XXE in Apache Tika

I clienti di Akamai sono protetti da questa vulnerabilità a partire dall'11 dicembre 2025.

La CVE-2025-66516 è una vulnerabilità XXE (XML eXternal Entity) recentemente rilevata in Apache Tika, che consente ai criminali di sfruttare e abusare dei contenuti XFA appositamente creati e incorporati nei file PDF. A causa dell'analisi non sicura dei file XML effettuata in tika-core, eventuali documenti PDF dannosi, se caricati, possono attivare la risoluzione delle entità esterne durante l'elaborazione dei documenti, portando potenzialmente alla divulgazione di file sensibili o all'accesso ai dati di rete in uscita. 

Questa vulnerabilità interessa e influisce su più moduli Tika ed espande l'ambito di un problema precedentemente segnalato, rendendo qualsiasi servizio che analizza o elabora in modo non sicuro PDF non attendibili con Apache Tika un obiettivo a rischio molto elevato.

Akamai ha implementato una soluzione Akamai Adaptive Security Engine Rapid Rule per proteggere i clienti da queste minacce.

In Apache Tika è stato scoperto un difetto di analisi XML critico,

ossia la CVE-2025-66516, una vulnerabilità XXE (XML eXternal Entity) di tipo injection tramite PDF appositamente creati

Un hacker può incorporare contenuti XML (XFA) dannosi all'interno di un file PDF e caricarli su un server web che elabora i documenti tramite Apache Tika. Un'analisi XML non sicura può causare l'espansione involontaria delle entità esterne durante l'elaborazione dei file, consentendo al server web di leggere i file interni o di avviare richieste di dati di rete in uscita non intenzionali.

Ciò può determinare un'esposizione di dati sensibili o un attacco SSRF (Server-Side Request Forgery) in ambienti che gestiscono documenti non attendibili, trasformando in modo efficace la scansione di documenti di routine in una superficie di attacco e un rischio di esposizione dei dati.