XML External Entity (XXE) (Web)

Un ataque de entidad externa XML es un tipo de ataque contra una aplicación que analiza la entrada XML. Este ataque ocurre cuando la entrada XML que contiene una referencia a una entidad externa es procesada por un analizador XML débilmente configurado. Este ataque puede conducir a la divulgación de datos confidenciales, negación del servicio, falsificación de solicitudes del lado del servidor, escaneo de puertos desde la perspectiva de la máquina donde se encuentra el analizador y otros impactos del sistema.

pueden incluir la revelación Archivos locales, que pueden contener datos confidenciales, como contraseñas o datos de usuario privado, utilizando el archivo: esquemas o rutas relativas en el identificador del sistema.