CWE-776БазаЧерновик
Некорректное ограничение рекурсивных ссылок на сущности в DTD ('расширение XML-сущностей')
Программный продукт использует XML-документы и допускает определение их структуры посредством DTD (Document Type Definition), однако не контролирует надлежащим образом количество рекурсивных определений сущностей.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2019-19144Уязвимость XML External Entity Injection в устройствах Quantum DXi6702 версии 2.3.0.3 (11449-53631 Build304) позволяет неаутентифицированному злоумышленнику читать произвольные файлы на устройстве с правами root [1].
Источники:
- [1] https://www.quantum.com/products/disk-basedbackup/dxi6700/index.aspx
- [2] https://github.com/atredispartners/advisories/blob/master/ATREDIS-2019-0004.md
CVE-2014-2228Расширение XStream в HP Fortify SCA до версии 2.2 RC3 позволяет удаленным злоумышленникам выполнять произвольный код через небезопасную десериализацию XML-сообщений.
CVE-2013-4335opOpenSocialPlugin 0.8.2.1, > 0.9.9.2, 0.9.13, 1.2.6: Множественные уязвимости XML External Entity Injection.
CVE-2020-24590Консоль управления в WSO2 API Manager до версии 3.1.0 и API Microgateway 2.2.0 допускает атаки расширения XML Entity.
CVE-2024-28982Hitachi Vantara Pentaho Business Analytics Server версии до 10.1.0.0 и 9.3.0.7, включая 8.3.x, неправильно защищает конечную точку службы ACL консоли пользователя Pentaho от межсайтовой вставки XML-сущностей.
CVE-2017-18640Функция Alias в SnakeYAML до версии 1.26 позволяет расширение сущностей во время операции загрузки, что является проблемой, связанной с CVE-2003-1564.
CVE-2026-45771FreeSWITCH - это программный стек для электросвязи, обеспечивающий цифровую трансформацию от запатентованных телекоммуникационных коммутаторов к программному обеспечению, которое работает на любом товарном оборудовании. До версии 1.1.10 пакетный XML-парсер FreeSWITCH расширяет вложенные декларации <!ENTITY> без глубины или совокупности, поэтому небольшой DTD может описать тело, которое расширяется экспоненциально («миллиард смеется»). Тело PIDF SIP PUBLISH подается в этот парсер перед любой проверкой дайджеста, позволяя неаутентифицированному сетевому злоумышленнику заставлять безграничный процессор и потребление памяти с одним запросом. Этот вопрос был исправлен в версии 1.1.10.
CVE-2026-33036quick-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. Версий 4.0.0-beta.3 - 5.5.5 содержат уязвимость байпаса, где числовые ссылки на символы (&#NNN;, &#xHH;) и стандартные XML-сущности полностью уклоняются от пределов расширения объекта (например, maxTotalExpansions, maxExpandLength), добавленных для исправления CVE-2026-26278, что позволяет XML-расширить объект. Первопричиной является то, что applicationEntitiesValue() в OrderedObjParser.js обеспечивает только расширение, рассчитывая на объекты, определенные DOCTYPE, в то время как последний цикл Entities, обрабатывающий числовые / стандартные сущности, не выполняет никакого подсчета вообще. Агитлер, поставляюющий 1M числовые ссылки на объекты, такие как A, может заставить ~147MB высвобождения памяти и интенсивного использования процессора, потенциально разрушая процесс, даже если разработчики настроили строгие ограничения. Эта проблема исправлена в версии 5.5.6.
CVE-2026-31248Бэкэнд METS GBS от Docling уязвим для XML Entity Expansion (XXE) атак через 2.61.0. Бэкенд извлекает и проверяет файлы XML из архивов .tar.gz с использованием etree.fromstring() без отключения разрешения сущности. Злоумышленник может создать вредоносный XML-файл с вложенными определениями сущности (XML Bomb) и упаковать его в архив .tar.gz. При обработке Docling экспоненциальное расширение объектов во время разбора XML приводит к чрезмерному потреблению ресурсов, что приводит к условию отказа в обслуживании (DoS) в системе, работающей с парсером Docling.
CVE-2026-29074SVGO, сокращенно от SVG Optimizer, представляет собой приложение Node.js для оптимизации файлов SVG. От версии 2.1.0 до версии 2.8.1, от версии 3.0.0 до версии 3.3.3 и до версии 4.0.1, SVGO принимает XML с пользовательскими объектами, без защиты от расширения или рекурсии объекта. Это может привести к тому, что небольшой XML-файл (811 байтов) остановит приложение и даже сорвется процесс Node.js с помощью JavaScript из памяти. Эта проблема была исправлена в версиях 2.8.1, 3.3.3 и 4.0.1.
CVE-2026-26278fast-xml-парсер позволяет пользователям проверять XML, разбирать XML на объект JS или создавать XML из объекта JS без библиотек на основе C/C++ и без обратного звонка. В версиях 4.1.3 - 5.3.5 XML-парсер может быть вынужден сделать неограниченное количество расширения сущности. При очень небольшом XML-входе можно заставить парсера потратить секунды или даже минуты на обработку одного запроса, эффективно замораживая приложение. Версия 5.3.6 устраняет проблему. В качестве обходного пути избегайте использования разбора DOCTYPE по «процессуальные организации: ложный» вариант.
CVE-2025-3225Уязвимость расширения XML-сущности, также известная как атака 'миллиард смехов', существует в парсере карты сайта репозитория run-llama/llama_index, в частности, затрагивает версию v0.12.21. Эта уязвимость позволяет злоумышленнику предоставить вредоносную XML-карту сайта, что приводит к отказу в обслуживании (DoS) путем исчерпания памяти системы и потенциально может вызвать сбой системы. Проблема решена в версии v0.12.29 [1].
Источники:
- [1] https://huntr.com/bounties/e33c0699-e9a2-49aa-837b-5363205637a2
- [2] https://github.com/run-llama/llama_index/commit/4f6ee062b19212106a2632af9c9521fc7f0a3584
CVE-2024-28757libexpat до версии 2.6.1 допускает атаку расширения XML-сущностей при изолированном использовании внешних парсеров (созданных через XML_ExternalEntityParserCreate).
CVE-2023-49967Обнаружено, что Typecho v1.2.1 уязвим для атаки XML Quadratic Blowup через компонент /index.php/action/xmlrpc.
CVE-2023-28118kaml обеспечивает поддержку YAML для kotlinx.serialization. До версии 0.53.0 приложения, использующие kaml для разбора ненадежного ввода, содержащего якоря и псевдонимы, могут потреблять чрезмерный объем памяти и аварийно завершаться. Версия 0.53.0 и более поздние версии по умолчанию отказываются разбирать YAML-документы, содержащие якоря и псевдонимы. Известных обходных путей нет.