Akamai는 LayerX를 인수하여 모든 브라우저에서 엔드투엔드 보안과 실시간 AI 사용 제어 기능을 제공합니다. 자세한 정보

CVE-2025-66516: Apache Tika XXE 공격 탐지 및 방어

Akamai 고객은 2025년 12월 11일부터 이 취약점에 대한 보호를 받고 있습니다.

공유

요약 보고서

CVE-2025-66516은 PDF 파일에 내장된 조작된 XFA 콘텐츠를 통해 공격자가 악용할 수 있는, Apache Tika에서 새로 발견된 중대 XML 외부 엔티티(XXE) 취약점입니다. tika-core의 안전하지 않은 XML 파싱으로 인해, 악성 PDF 문서가 업로드될 경우 문서 처리 과정에서 외부 엔티티 해석이 트리거되어 민감한 파일 노출이나 의도하지 않은 아웃바운드 네트워크 접속으로 이어질 수 있습니다. 

이 취약점은 여러 Tika 모듈에 영향을 미치며, 기존에 보고된 문제의 범위를 확장하는 것으로, Apache Tika를 사용해 신뢰할 수 없는 PDF를 안전하지 않게 파싱하거나 처리하는 모든 서비스가 매우 높은 리스크에 노출됩니다.

Akamai는 이러한 위협으로부터 고객을 보호하기 위해 Akamai Adaptive Security Engine의 Rapid Rule을 배포했습니다.

취약점 세부 정보

Apache Tika에서 심각한 XML 파싱 취약점이 확인되었습니다.

CVE-2025-66516 — 조작된 PDF를 통한 XML 외부 엔티티(XXE) 인젝션

공격자는 악성 XML(XFA 콘텐츠)을 PDF 파일에 삽입한 뒤, Apache Tika를 사용해 문서를 처리하는 웹 서버로 이를 업로드할 수 있습니다. 안전하지 않은 XML 파싱으로 인해 파일 처리 중 외부 엔티티가 의도치 않게 확장되면서, 웹 서버가 내부 파일을 읽거나 원치 않는 아웃바운드 네트워크 요청을 수행할 수 있습니다.

이로 인해 신뢰할 수 없는 문서를 처리하는 환경에서는 민감한 데이터 노출이나 서버 측 요청 위조(SSRF)로 이어질 수 있으며, 일상적인 문서 스캔 과정이 곧 공격 표면이자 데이터 노출 리스크로 전환될 수 있습니다.

Akamai App & API Protector를 통한 방어

Akamai는 2025년 12월 11일, Akamai App & API Protector 고객을 대상으로 Adaptive Security Engine의 Rapid Rule을 배포해 다음과 같은 방어를 제공했습니다.

  • 3000980 — Apache Tika XML 외부 엔티티(XXE) 공격 탐지(CVE-2025-66516)

요약

Akamai는 여러 Apache Tika 기반 배포에 영향을 미치는 새로 공개된 취약점으로부터 고객을 보호하기 위해, App & API Protector에 새로운 보안 룰을 배포했습니다.

그러나 가장 효과적인 방어는 언제나 벤더사가 제공한 패치를 신속하게 적용하는 것입니다. 이 문제의 심각도를 고려할 때 가능한 한 빨리 패치를 적용해야 합니다.

관심 유지

Akamai Security Intelligence Group은 고객과 보안 커뮤니티 전체를 위해 이와 같은 위협에 대한 모니터링, 보고, 방어를 계속할 것입니다. Akamai Security Intelligence Group의 최신 뉴스를 더 받으려면 리서치 홈페이지를 방문하고 소셜 미디어를 팔로우하세요.

태그

공유

관련 블로그 게시물

보안 리서치
Xurum: 새로운 Magento 캠페인 발견
Akamai 연구원들은 정교한 신종 Magento 위협을 발견하고 분석했으며, 이를 Xurum이라고 명명했습니다. 이 블로그 게시물에서 공격에 대한 세부 정보와 발견한 내용들을 확인하세요.
보안 리서치
스크레이핑 소리가 들리시나요? 웹 스크레이퍼 봇이 이커머스 수익성을 악화시키는 방법
June 25, 2024
이커머스 관련 SOTI 보고서에서는 웹 스크레이퍼 봇의 경제적 영향, 탐지 과제, 정교함에 대해 설명합니다.
사이버 보안
측면 이동 공격에 취약한 Linux
June 28, 2023
측면 이동이 Windows로만 가능한 것은 아닙니다. 측면 이동으로 스스로를 보호하는 데 활용할 수 있는 Linux의 프로토콜을 검토해 보겠습니다.