• CWE-611: Improper Restriction of XML External Entity Reference

Das Produkt verarbeitet ein XML-Dokument, das XML-Entitäten mit URIs enthalten kann, die auf Dokumente außerhalb des vorgesehenen Kontrollbereichs (control sphere) aufgelöst werden. Dies führt dazu, dass das Produkt fehlerhafte Dokumente in seine Ausgabe einbettet.

CWE-611: Improper Restriction of XML External Entity Reference

CWE ID: 611
Name: Improper Restriction of XML External Entity Reference

Beschreibung

Das Produkt verarbeitet ein XML-Dokument, das XML-Entitäten mit URIs enthalten kann, die auf Dokumente außerhalb des vorgesehenen Kontrollbereichs (control sphere) aufgelöst werden. Dies führt dazu, dass das Produkt fehlerhafte Dokumente in seine Ausgabe einbettet.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Viele XML-Parser und -Validatoren können so konfiguriert werden, dass die externe Entitätsausweitung (external entity expansion) deaktiviert wird.