Akamai 收购 LayerX,为所有浏览器提供端到端安全和实时 AI 使用控制。 获取详情

CVE-2025-66516:检测和防御 Apache Tika XXE 攻击

自 2025 年 12 月 11 日起,Akamai 客户已获得针对此漏洞的防护。

分享

内容提要

CVE-2025-66516 是 Apache Tika 中新发现的一个严重 XML 外部实体注入漏洞。攻击者可利用嵌入在 PDF 文件中的恶意构造 XFA 内容发起攻击。由于 tika-core 中存在不安全的 XML 解析机制,上传的恶意 PDF 文档可在文档处理过程中触发外部实体解析,可能导致敏感文件泄露或出站网络访问。

该漏洞影响多个 Tika 模块,并扩大了先前已报告问题的范围,进而使任何使用 Apache Tika 不安全地解析或处理不可信 PDF 文件的服务都成为极高风险的目标。

Akamai 已通过部署 Akamai Adaptive Security Engine 快速规则,以保护客户免受这些威胁的侵扰。

漏洞详情

Apache Tika 中发现一个严重的 XML 解析漏洞:

CVE-2025-66516——通过恶意构造的 PDF 文件实现 XML 外部实体注入

攻击者可将恶意 XML(XFA 内容)嵌入 PDF 文件中,并上传至使用 Apache Tika 处理文档的 Web 服务器。不安全的 XML 解析可能导致外部实体在文件处理过程中被意外展开,从而使 Web 服务器能够读取内部文件或发起非预期的出站网络请求。

在处理不可信文档的环境中,这可能导致敏感数据泄露或服务器端请求伪造 (SSRF),进而使常规文档扫描功能实际上转变为攻击面和数据泄露风险源。

利用 Akamai App & API Protector 抵御漏洞

2025 年 12 月 3 日,Akamai 为 Akamai App & API Protector 客户部署了 Adaptive Security Engine 快速规则,以提供抵御措施:

  • 3000980——检测到 Apache Tika XML 外部实体注入攻击 (CVE-2025-66516)

总结

Akamai 已发布新的 App & API Protector 规则,为受新披露漏洞影响的多个 Apache Tika 部署提供防护。

然而,最有效的防御措施始终是及时应用供应商提供的补丁程序。鉴于该漏洞的严重性,应尽快应用任何相关补丁程序。

关注最新动态

Akamai 安全情报组将继续监控此类威胁,并随时向我们的客户及整个安全社区报告相关情况以及创建抵御措施。如需及时了解 Akamai 安全情报组发布的更多最新动态,请查看我们的研究首页并关注我们的社交媒体频道

标签

分享

相关博文

安全研究
Xurum:新型 Magento 攻击活动
Akamai 研究人员发现一起针对 Magento 的新型复杂威胁活动,对该活动进行了分析并将其称为“Xurum”。请阅读本博文,了解攻击详情和研究结论。
安全研究
这种抓取会产生怎样的影响?网络抓取类爬虫程序如何损害电商利润
June 25, 2024
关于电商的 SOTI 报告描述了网络抓取类爬虫程序的经济影响、检测难点和复杂程度。
网络安全
Linux 中的 L 代表横向移动
June 28, 2023
并非只有 Windows 中才会发生横向移动。让我们来看看 Linux 中有哪些协议可用于实现横向移动,以便提升自身的防护能力。