Os clientes da Akamai estão protegidos contra essa vulnerabilidade desde 11 de dezembro de 2025.
Resumo executivo
A CVE-2025-66516 é uma vulnerabilidade crítica de entidade externa XML (XXE) recentemente descoberta no Apache Tika que permite que os invasores explorem e abusem de conteúdo XFA elaborado que esteja incorporado em arquivos PDF. Devido à análise de XML desprotegida no tika-core, documentos PDF maliciosos carregados podem acionar a resolução de entidades externas durante o processamento de documentos, potencialmente levando à divulgação de arquivos confidenciais ou ao acesso à rede de saída.
Essa vulnerabilidade afeta vários módulos Tika e expande o escopo de um problema relatado anteriormente, tornando qualquer serviço que analisa ou processa PDFs não confiáveis com o Apache Tika um alvo de alto risco.
A Akamai implantou uma Regra rápida do Akamai Adaptive Security Engine para proteger os clientes contra essas ameaças.
Detalhes da vulnerabilidade
Uma falha crítica de análise de XML foi descoberta no Apache Tika:
CVE-2025-66516 — injeção de entidade externa XML (XXE) por meio de PDFs elaborados
Um invasor pode incorporar XML mal-intencionado (conteúdo XFA) em um PDF e carregá-lo em um servidor da web que processa documentos usando o Apache Tika. A análise desprotegida de XML pode fazer com que entidades externas sejam expandidas involuntariamente durante o processamento de arquivos, permitindo que o servidor da web leia arquivos internos ou inicie solicitações de rede de saída não intencionais.
Isso pode levar à exposição de dados confidenciais ou à falsificação de solicitações no lado do servidor (SSRF) em ambientes que lidam com documentos não confiáveis, transformando efetivamente a verificação rotineira de documentos em uma superfície de ataque e um risco de exposição de dados.
Mitigação com o Akamai App & API Protector
Em 11 de dezembro de 2025, a Akamai implantou uma Regra rápida do Adaptive Security Engine para os clientes do Akamai App & API Protector para oferecer mitigação:
3000980 — ataque detectado de entidade externa XML (XXE) no Apache Tika (CVE-2025-66516)
Resumo
A Akamai lançou uma nova regra do App & API Protector para fornecer proteção contra uma vulnerabilidade recém-divulgada que está afetando várias implantações baseadas no Apache Tika.
Contudo, a defesa mais eficaz sempre será a aplicação imediata dos patches fornecidos pelo fornecedor. Dada a gravidade do problema, quaisquer patches devem ser aplicados o mais rápido possível.
Fique por dentro
O Akamai Security Intelligence Group continuará monitorando, notificando e criando mitigações quanto a ameaças como essas para nossos clientes e para a comunidade de segurança em geral. Para acompanhar as notícias mais recentes do Akamai Security Intelligence Group, confira nossa página inicial de pesquisa e nos siga nas redes sociais.
Tags
