ブログ IP住所検索
CWE一覧に戻る
CWE-611

XML外部エンティティ参照の不適切な制限

Improper Restriction of XML External Entity Reference
脆弱性 レビュー中
日本語説明
JA

この製品は、意図した制御範囲外のドキュメントに解決するURIを持つXMLエンティティを含む可能性のあるXMLドキュメントを処理し、製品がその出力に不正なドキュメントを埋め込む原因となる。

原文 (English)
EN

The product processes an XML document that can contain XML entities with URIs that resolve to documents outside of the intended sphere of control, causing the product to embed incorrect documents into its output.

関連する脆弱性
CWE-610 外部制御による他圏リソースへの参照 CWE-610 外部制御による他圏リソースへの参照 CWE-441 意図しない代理人または仲介人(「混乱した代理人)
想定される影響
Scope: Confidentiality / Impact: Read Application Data; Read Files or Directories
Scope: Integrity / Impact: Bypass Protection Mechanism
Scope: Availability / Impact: DoS: Resource Consumption (CPU); DoS: Resource Consumption (Memory)
対策・緩和策
Many XML parsers and validators can be configured to disable external entity expansion.
外部リンク
MITRE公式ページ — CWE-611