• CWE-112: Missing XML Validation

Das Produkt akzeptiert XML-Daten von einer nicht vertrauenswürdigen Quelle, validiert diese aber nicht gegen das korrekte schema. Dies stellt ein erhebliches Sicherheitsrisiko dar, da es anfällig für XML External Entity (XXE)-Angriffe und andere injection attacks sein kann. Eine fehlende schema validation ermöglicht die Verarbeitung von bösartigen Daten, die das System kompromittieren könnten.

CWE-112: Missing XML Validation

CWE ID: 112
Name: Missing XML Validation

Beschreibung

Das Produkt akzeptiert XML-Daten von einer nicht vertrauenswürdigen Quelle, validiert diese aber nicht gegen das korrekte schema. Dies stellt ein erhebliches Sicherheitsrisiko dar, da es anfällig für XML External Entity (XXE)-Angriffe und andere injection attacks sein kann. Eine fehlende schema validation ermöglicht die Verarbeitung von bösartigen Daten, die das System kompromittieren könnten.

Erweiterte Beschreibung

Die überwiegende Mehrheit erfolgreicher Angriffe beginnt mit einer Verletzung der Annahmen des Programmierers. Indem ein XML-Dokument ohne Validierung gegen ein DTD oder XML schema akzeptiert wird, öffnet der Programmierer eine Tür für Angreifer, unerwartete, unvernünftige oder bösartige input bereitzustellen. Diese fehlende Validierung schafft eine Schwachstelle, die ausgenutzt werden kann, um die security posture des Systems zu gefährden.