CWE -CWE -611：XML外部实体参考的不当限制（4.10）

弱点ID：611

抽象：根据
结构：简单的

查看自定义信息：

描述

该产品处理一个可以包含XML实体的XML文档，该文档将带有URI的XML实体，该实体决定在预期的控制范围之外进行文档，从而导致产品将不正确的文档嵌入其输出中。

扩展描述

XML文档（可选）包含文档类型定义（DTD），除其他功能外，还可以启用XML实体的定义。可以通过以URI形式提供替换字符串来定义实体。XML解析器可以访问此URI的内容，并将这些内容嵌入XML文档中以进行进一步处理。

通过提交用文件：// URI定义外部实体的XML文件，攻击者可以导致处理应用程序读取本地文件的内容。例如，诸如“ file：/// c：//winnt/win.ini”之类的URI指定（在Windows中）文件c：\ winnt \ win.in.ini或file：//////////passwd指定密码在基于UNIX的系统中文件。使用URI与其他方案（例如http：//），攻击者可以迫使应用程序向服务器提出攻击者无法直接到达的服务器的请求，该请求可用于绕过防火墙限制或隐藏诸如端口扫描之类的攻击源。

一旦读取URI的内容，就可以回到正在处理XML的应用程序中。此应用程序可以回声返回数据（例如，在错误消息中），从而揭示文件内容。

替代条款

xxe：	“ XML外部实体”一词使用的首字母缩写词

关系

该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

与观点“研究概念”相关（CWE-1000）

自然	类型	ID	姓名
Childof	班级 - 以非常抽象的方式描述的弱点，通常与任何特定的语言或技术无关。比支柱弱点更具体，但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题：行为，属性和资源。	610	外部控制对另一个领域中资源的引用
peerof	班级 - 以非常抽象的方式描述的弱点，通常与任何特定的语言或技术无关。比支柱弱点更具体，但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题：行为，属性和资源。	441	意外代理或中介（“困惑的副手”）

与“软件开发”视图相关（CWE-699）

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	19	数据处理错误

与“简化已发表漏洞的简化映射”（CWE-1003）相关的视图相关（CWE-1003）

自然	类型	ID	姓名
Childof	班级 - 以非常抽象的方式描述的弱点，通常与任何特定的语言或技术无关。比支柱弱点更具体，但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题：行为，属性和资源。	610	外部控制对另一个领域中资源的引用

与“建筑概念”（CWE-1008）有关

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1015	限制访问

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

阶段	笔记
执行	实现：这种弱点是在实施建筑安全策略期间引起的。

适用的平台

该清单显示了可能出现的弱点的可能区域。这些可能适用于特定的命名语言，操作系统，体系结构，范式，技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

XML（不确定的患病率）

技术

课程：基于Web的（不确定的患病率）

常见后果

该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会利用弱点来实现一定的影响，但很可能会利用它来实现不同的影响。

范围	影响	可能性
保密	技术影响：阅读应用程序数据；读取文件或目录如果攻击者能够启用制作的DTD并启用默认实体解析器，则攻击者可能能够访问系统上的任意文件。
正直	技术影响：旁路保护机制 DTD可能包括服务器可以执行的任意HTTP请求。这可能导致其他攻击利用服务器与其他实体的信任关系。
可用性	技术影响：DOS：资源消耗（CPU）；DOS：资源消耗（内存）该产品可以使用指向大文件的URI或始终返回数据（例如 /dev /andant andan）的设备消耗过多的CPU周期或内存。另外，URI可以引用包含许多嵌套或递归实体引用的文件，以进一步减慢解析。

观察到的例子

参考	描述
CVE-2005-1306	浏览器控件可以允许远程攻击者通过包含XML脚本的JavaScript确定文件的存在。
CVE-2012-5656	XXE在SVG图像转换期间
CVE-2012-2239	PHP应用程序中的XXE允许阅读应用程序的配置文件。
CVE-2012-3489	数据库服务器中的XXE
CVE-2012-4399	快速Web应用程序开发框架中的XXE允许读取任意文件。
CVE-2012-3363	XXE通过XML-RPC请求。
CVE-2012-0037	使用RDF中的Office文档产品中的XXE。
CVE-2011-4107	XXE在基于Web的数据库中。
CVE-2010-3322	在产品中执行大规模数据分析的XXE。
CVE-2009-1699	XXE在某些Web浏览器使用的通用库中XSL样式表功能。

潜在的缓解

阶段：实施；系统配置

可以将许多XML解析器和验证器配置为禁用外部实体扩展。

会员资格

此成员关系表显示了其他CWE类别和视图，将此弱点称为成员。该信息通常可用于理解弱点适合外部信息源的何处。

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	990	SFP辅助群集：污染输入的命令
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1030	OWASP 2017年前十名A4类-XML外部实体（XXE）
成员	查看 - CWE条目的子集，提供了一种检查CWE内容的方法。两个主视图结构是切片（平面列表）和图（包含条目之间的关系）。	1200	2019年CWE前25个最危险的软件错误中的弱点
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1308	CISQ质量措施 - 安全性
成员	查看 - CWE条目的子集，提供了一种检查CWE内容的方法。两个主视图结构是切片（平面列表）和图（包含条目之间的关系）。	1337	2021 CWE中的弱点前25个最危险的软件弱点
成员	查看 - CWE条目的子集，提供了一种检查CWE内容的方法。两个主视图结构是切片（平面列表）和图（包含条目之间的关系）。	1340	CISQ数据保护措施
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1349	OWASP前十2021年A05：2021-安全性错误
成员	查看 - CWE条目的子集，提供了一种检查CWE内容的方法。两个主视图结构是切片（平面列表）和图（包含条目之间的关系）。	1350	2020年CWE前25个最危险的软件弱点中的弱点
成员	查看 - CWE条目的子集，提供了一种检查CWE内容的方法。两个主视图结构是切片（平面列表）和图（包含条目之间的关系）。	1387	2022 CWE中的弱点前25个最危险的软件弱点

笔记

关系

CWE-918（SSRF）和CWE-611（XXE）密切相关，因为它们都涉及与Web相关的技术，并且可以向意外的目的地启动出站请求。但是，可以执行XXE的客户端，也可以在软件不直接充当服务器的其他情况下执行，因此SSRF首字母缩写词的“服务器”部分不一定适用。

分类映射

映射的分类名称	节点ID	合身	映射的节点名称
WASC	43		XML外部实体
软件故障模式	SFP24		污染输入到命令

相关攻击模式

CAPEC-ID	攻击模式名称
CAPEC-221	数据序列化外部实体爆炸

参考

[Ref-496] Owasp。“ XML外部实体（XXE）处理”。<https://www.owasp.org/index.php/xml_external_entity_(xxe)_processing>。

[Ref-497] Sascha Herzog。“ XML外部实体攻击（XXE）”。2010-10-20。<https://www.owasp.org/images/5/5d/xml_exteral_entity_attack.pdf>。

[Ref-498] Gregory Steuck。“ XXE（XML外部实体）攻击”。<http://www.securiteam.com/security万博下载包news/6d0100a5pu.html>。

[Ref-499] WASC。“ XML外部实体（XXE）攻击”。<http://projects.webappsec.org/w/page/13247003/xml%20External%20Intities>。

[Ref-500] Bryan Sullivan。“ XML拒绝服务攻击和防御”。2009-09。<http://msdn.microsoft.com/en-us/magazine/ee335713.aspx>。

[Ref-501] Chris Cornutt。“防止XXE在PHP中”。<http://websec.io/2012/08/27/preventing-xxe-in-php.html>。

内容历史记录

提交
提交日期	提交者	组织
2007-05-07	匿名工具供应商（在NDA下）
2007-05-07
修改
修改日期	修饰符	组织
2008-07-01	埃里克·达奇（Eric Dalci）	雪茄
2008-07-01	更新的time_of_introduction
2008-09-08	CWE内容团队	MITER
2008-09-08	更新的描述，关系，obsoved_example，其他_notes，gualomy_mappings
2010-02-16	CWE内容团队	MITER
2010-02-16	更新的分类法_ mappings
2010-09-27	CWE内容团队	MITER
2010-09-27	更新后台_DETAILS，其他_notes
2011-03-29	CWE内容团队	MITER
2011-03-29	更新的名称
2011-06-01	CWE内容团队	MITER
2011-06-01	更新的common_cconsquences
2012-05-11	CWE内容团队	MITER
2012-05-11	更新的关系
2013-02-21	CWE内容团队	MITER
2013-02-21	更新备份的ntertrate_terms，plapperable_platforms，background_details，common_consequences，description，name，obseved_examples，entife_mitigations，参考，关系_notes，关系，关系，分类_ mappings，
2014-07-30	CWE内容团队	MITER
2014-07-30	更新的关系，分类_mappings
2015-12-07	CWE内容团队	MITER
2015-12-07	更新的关系
2017-11-08	CWE内容团队	MITER
2017-11-08	更新的模e_of_introduction，参考，关系，相关_Properties
2018-03-27	CWE内容团队	MITER
2018-03-27	更新的关系
2019-01-03	CWE内容团队	MITER
2019-01-03	更新相关的_attack_patterns
2019-06-20	CWE内容团队	MITER
2019-06-20	更新的名称，类型
2019-09-19	CWE内容团队	MITER
2019-09-19	更新的关系
2020-02-24	CWE内容团队	MITER
2020-02-24	更新了适用的_platforms，关系
2020-08-20	CWE内容团队	MITER
2020-08-20	更新的关系
2020-12-10	CWE内容团队	MITER
2020-12-10	更新的关系
2021-07-20	CWE内容团队	MITER
2021-07-20	更新的关系
2021-10-28	CWE内容团队	MITER
2021-10-28	更新的关系
2022-06-28	CWE内容团队	MITER
2022-06-28	更新的关系
2023-01-31	CWE内容团队	MITER
2023-01-31	更新的备用_terms，common_ccessquences，说明
先前的输入名称
改变日期	先前的输入名称
2011-03-29	通过XML外部实体文件披露泄漏的信息泄漏

2013-02-21	通过XML外部实体参考的信息暴露

2019-06-20	不当限制XML外部实体参考（'xxe'）

普遍的弱点

CWE-611：XML外部实体参考的不当限制


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用共同弱点枚举（CWE）和本网站的相关参考使用条款。CWE由美国国土安全部（DHS）网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页（MITER）。版权所有©2006–2023，Miter Comanbetx客户端首页rporation。CWE，CWSS，CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页