自 2025 年 12 月 11 日起,Akamai 客户已获得针对此漏洞的防护。
内容提要
CVE-2025-66516 是 Apache Tika 中新发现的一个严重 XML 外部实体注入漏洞。攻击者可利用嵌入在 PDF 文件中的恶意构造 XFA 内容发起攻击。由于 tika-core 中存在不安全的 XML 解析机制,上传的恶意 PDF 文档可在文档处理过程中触发外部实体解析,可能导致敏感文件泄露或出站网络访问。
该漏洞影响多个 Tika 模块,并扩大了先前已报告问题的范围,进而使任何使用 Apache Tika 不安全地解析或处理不可信 PDF 文件的服务都成为极高风险的目标。
Akamai 已通过部署 Akamai Adaptive Security Engine 快速规则,以保护客户免受这些威胁的侵扰。
漏洞详情
Apache Tika 中发现一个严重的 XML 解析漏洞:
CVE-2025-66516——通过恶意构造的 PDF 文件实现 XML 外部实体注入
攻击者可将恶意 XML(XFA 内容)嵌入 PDF 文件中,并上传至使用 Apache Tika 处理文档的 Web 服务器。不安全的 XML 解析可能导致外部实体在文件处理过程中被意外展开,从而使 Web 服务器能够读取内部文件或发起非预期的出站网络请求。
在处理不可信文档的环境中,这可能导致敏感数据泄露或服务器端请求伪造 (SSRF),进而使常规文档扫描功能实际上转变为攻击面和数据泄露风险源。
利用 Akamai App & API Protector 抵御漏洞
2025 年 12 月 3 日,Akamai 为 Akamai App & API Protector 客户部署了 Adaptive Security Engine 快速规则,以提供抵御措施:
3000980——检测到 Apache Tika XML 外部实体注入攻击 (CVE-2025-66516)
总结
Akamai 已发布新的 App & API Protector 规则,为受新披露漏洞影响的多个 Apache Tika 部署提供防护。
然而,最有效的防御措施始终是及时应用供应商提供的补丁程序。鉴于该漏洞的严重性,应尽快应用任何相关补丁程序。
关注最新动态
标签
