Akamai のお客様は、2025 年 12 月 11 日以降、この脆弱性から保護されています。
エグゼクティブサマリー
CVE-2025-66516 は、Apache Tika の XML 外部エンティティ(XXE)で新たに発見された非常に深刻な脆弱性です。この脆弱性により、攻撃者は細工して PDF ファイルに埋め込んだ XFA コンテンツを利用して侵害することが可能になります。tika-core で安全でない XML 解析が行われると、アップロードされた悪性の PDF ドキュメントが、ドキュメントの処理中に外部エンティティ解決をトリガーし、機密ファイルの開示やアウトバウンドネットワークへのアクセスにつながるおそれがあります。
この脆弱性は、複数の Tika モジュールに影響を与え、以前に報告された問題の範囲を拡大するため、Apache Tika を使用して信頼されていない PDF に安全でない解析または処理を行うサービスは、非常に標的になりやすい存在です。
Akamai は、Akamai Adaptive Security Engine Rapid Rule を導入して、これらの脅威からお客様を保護しています。
脆弱性の詳細
Apache Tika に XML 解析の非常に深刻な欠陥が発見されました。
CVE-2025-66516 — 細工された PDF を介した XML 外部エンティティ参照(XXE)インジェクション
攻撃者は、悪性の XML(XFA コンテンツ)を PDF 内に埋め込み、Apache Tika を使用してドキュメントを処理する Web サーバーにアップロードする可能性があります。安全でない XML 解析が行われると、ファイル処理中に外部エンティティが意図せず拡張され、Web サーバーが内部ファイルを読み取ったり、意図しないアウトバウンドネットワーク要求を開始したりする場合があります。
これにより、信頼されていないドキュメントを処理する環境における機微な情報の露出やサーバーサイド・リクエスト・フォージェリ(SSRF)が発生するおそれがあるため、事実上、日常的なドキュメントのスキャンはアタックサーフェスとなり、データ漏えいのリスクにつながる行為に変化してしまいます。
Akamai App & API Protector による緩和
2025 年 12 月 11 日、Akamai は Akamai App & API Protector をご利用のお客様向けに以下の Adaptive Security Engine Rapid Rule を導入し、緩和策を提供しました。
3000980 — Apache Tika XML 外部エンティティ参照(XXE)攻撃が検知されました(CVE-2025-66516)
まとめ
Akamai は、新しい App & API Protector のルールをリリースしました。これは、Apache Tika ベースの複数の展開に影響を与える、新たに公表された脆弱性に対する保護を提供するためのものです。
しかしながら、最も効果的な防御策はベンダーから提供されたパッチの速やかな適用であることは、今後も変わりません。この問題の影響度を考慮すると、パッチはできるだけ早く適用すべきです。
今後の情報提供
タグ
