I clienti di Akamai sono protetti da questa vulnerabilità a partire dall'11 dicembre 2025.
Analisi riassuntiva
La CVE-2025-66516 è una vulnerabilità XXE (XML eXternal Entity) recentemente rilevata in Apache Tika, che consente ai criminali di sfruttare e abusare dei contenuti XFA appositamente creati e incorporati nei file PDF. A causa dell'analisi non sicura dei file XML effettuata in tika-core, eventuali documenti PDF dannosi, se caricati, possono attivare la risoluzione delle entità esterne durante l'elaborazione dei documenti, portando potenzialmente alla divulgazione di file sensibili o all'accesso ai dati di rete in uscita.
Questa vulnerabilità interessa e influisce su più moduli Tika ed espande l'ambito di un problema precedentemente segnalato, rendendo qualsiasi servizio che analizza o elabora in modo non sicuro PDF non attendibili con Apache Tika un obiettivo a rischio molto elevato.
Akamai ha implementato una soluzione Akamai Adaptive Security Engine Rapid Rule per proteggere i clienti da queste minacce.
Dettagli della vulnerabilità
In Apache Tika è stato scoperto un difetto di analisi XML critico,
ossia la CVE-2025-66516, una vulnerabilità XXE (XML eXternal Entity) di tipo injection tramite PDF appositamente creati
Un hacker può incorporare contenuti XML (XFA) dannosi all'interno di un file PDF e caricarli su un server web che elabora i documenti tramite Apache Tika. Un'analisi XML non sicura può causare l'espansione involontaria delle entità esterne durante l'elaborazione dei file, consentendo al server web di leggere i file interni o di avviare richieste di dati di rete in uscita non intenzionali.
Ciò può determinare un'esposizione di dati sensibili o un attacco SSRF (Server-Side Request Forgery) in ambienti che gestiscono documenti non attendibili, trasformando in modo efficace la scansione di documenti di routine in una superficie di attacco e un rischio di esposizione dei dati.
Mitigazione con Akamai App & API Protector
L'11 dicembre 2025, Akamai ha implementato una soluzione Adaptive Security Engine Rapid Rule per i clienti di Akamai App & API Protector allo scopo di mitigare le seguenti vulnerabilità:
3000980: è stato rilevato un attacco XXE (XML eXternal Entity) in Apache Tika (CVE-2025-66516)
Riepilogo
Akamai ha rilasciato una nuova regola di App & API Protector per fornire protezione contro una vulnerabilità appena divulgata che influisce su più implementazioni basate su Apache Tika.
La difesa più efficace, comunque, consiste sempre nell'applicare tempestivamente le patch fornite dal proprio vendor. Data la gravità di questo problema, le patch devono essere applicate il prima possibile.
Tenetevi al passo
L'Akamai Security Intelligence Group continuerà a monitorare, segnalare e creare mitigazioni per minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
Tag
