Каталог уязвимостей - CWE - CWE-611

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-611

Improper Restriction of XML External Entity Reference

The product processes an XML document that can contain XML entities with URIs that resolve to documents outside of the intended sphere of control, causing the product to embed incorrect documents into its output.

Тип уязвимости:	Не зависит от других уязвимостей

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2014-00394	Уязвимость автоматизированной системы управления технологическими процессами KingSCADA, позволяющая удаленному злоумышленнику выполнить отказ в обслуживании, при условии открытия пользователем специально сформированного XML-документа
BDU:2015-11393	Уязвимость программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю вызвать отказ в обслуживании или спровоцировать обращение к внешнему ресурсу
BDU:2016-00342	Уязвимость операционных систем Mac OS X и iOS, позволяющая нарушителю читать произвольные файлы
BDU:2016-00556	Уязвимость платформы для разработки мобильных приложений SAP Mobile Platform, позволяющая нарушителю читать произвольные файлы
BDU:2016-00667	Уязвимость пользовательского интерфейса сервера приложений IBM WebShpere Portal, позволяющая нарушителю вызвать отказ в обслуживании или читать произвольные файлы
BDU:2016-01032	Уязвимость программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2016-01475	Уязвимость интерпретатора PHP, позволяющая нарушителю провести XXE- и XXL-атаки
BDU:2016-02079	Уязвимость интерпретатора ColdFusion, позволяющая нарушителю читать произвольные файлы или отправлять TCP запросы к серверам внутренней сети
BDU:2017-00690	Уязвимость программного обеспечения для веб-конференцсвязи Cisco WebEx Meetings Server, позволяющая нарушителю получить доступ на чтение части информации, хранящейся в системе
BDU:2017-02100	Уязвимость парсера XML программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю прочитать произвольный файл или вызвать отказ в обслуживании
BDU:2017-02205	Уязвимость программного обеспечения для управления гипервизором Vmware vSphere Client, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2017-02206	Уязвимость браузера журнала событий, настроек распределенных коммутаторов и библиотеки содержимого сервера средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2017-02207	Уязвимость реализации единого входа (Single Sign-On) средств управления виртуальной инфраструктурой VMware vCenter Server и VMware vRealize Automation, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать от...
BDU:2017-02208	Уязвимость веб-системы контроля критически важного оборудования Liebert SiteScan, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2017-02237	Уязвимость интерфейса внутреннего и внешнего шлюзов GlobalProtect операционной системы PAN-OS, позволяющая нарушителю вызвать отказ в обслуживании или получить конфиденциальную информацию
BDU:2017-02261	Уязвимость средства администрирования системы электронного документооборота OpenText Documentum Administrator, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы или вызвать отказ в обслу...
BDU:2017-02262	Уязвимость веб-интерфейса, обеспечивающего доступ к репозиторию OpenText Documentum Webtop, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы или вызвать отказ в обслуживании
BDU:2017-02355	Уязвимость системы автоматизации деятельности предприятия Document Sciences xPression, вызванная неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к системным файлам, провести SSRF-атаку или вызвать отказ в о...
BDU:2017-02578	Уязвимость программной платформы Apache ActiveMQ, связанная с некорректным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию, вызвать отказ в обслуживании или оказать другое воздействие
BDU:2018-00112	Уязвимость функции entityValueInitProcessor библиотеки для анализа XML-файлов libexpat, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2018-00149	Уязвимость библиотеки Apache XML-RPC (ws-xmlrpc), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнять атаки SSRF
BDU:2018-00252	Уязвимость компонента FloorPlanApp программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00253	Уязвимость компонента проверки скрытого контента GPL программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00254	Уязвимость компонента TranslationSupport программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00255	Уязвимость компонента проверки скрытого контента GPL программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00256	Уязвимость компонента YWorksLayouter программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00371	Уязвимость универсальной системы мониторинга Zabbix, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы
BDU:2018-01146	Уязвимость веб-сервиса BEx Web Java Runtime Export программной интеграционной платформы SAP Business Intelligence, позволяющая нарушителю получить доступ к файловой системе или вызвать отказ в обслуживании
BDU:2018-01195	Уязвимость анализатора XML средств разработки PI Studio, вызванная неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2018-01269	Уязвимость анализатора XML-файлов библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2018-01272	Уязвимость функции xmlStringLenDecodeEntities (parser.c) библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию
BDU:2018-01326	Уязвимость средства управления базами данных Microsoft SQL Server Management Studio, связанная с недостаточным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2018-01461	Уязвимость веб-интерфейса средства управления использования электроэнергии Cisco Energy Management Suite, связаная с неверным ограничением XML-ссылок на внешние объекты (XXE), позволяющая нарушителю раскрыть или модифицировать защищаемую информацию
BDU:2018-01588	Уязвимость компонента Castor XML программного обеспечения для веб-конференцсвязи Cisco WebEx Meetings Server, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2018-01614	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или использовать ресурсы памяти
BDU:2019-00074	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с ошибками ограничений XML-ссылок на внешние объекты (XXE), позволяющая раскрыть защищаемую информацию
BDU:2019-00077	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с ошибками ограничения XML-ссылок на внешние объекты (XXE), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2019-00139	Уязвимость платформы мониторинга IIoT Monitor, связанная с некорректным контролем внешних XML-ссылок, позволяющая нарушителю внедрять некорректные документы в выходные данные
BDU:2019-00235	Уязвимость компонента xmlParsePEReference библиотеки для работы с XML и HTML файлами libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2019-00302	Уязвимость платформы автоматизации бизнес-процессов SAP Business Process Automation, связанная с ошибками ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить атаку с внедрением внешних сущностей XML
BDU:2019-00308	Уязвимость протокола S3 браузера S3 Browser, позволяющая нарушителю просматривать файлы и получать хеш-значения NTLMv2 пользователя
BDU:2019-00824	Уязвимость веб-интерфейса микропрограммного обеспечения сетевых устройств хранения данных Seagate GoFlex Home, Medion LifeCloud NAS и Netgear Stora, позволяющая нарушителю повысить свои привилегии
BDU:2019-01088	Уязвимость службы Microsoft XML Core Services операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01365	Уязвимость инструмента разработки приложений SAP HANA Extended Application Services, связанная с ошибками обработки XML-документов, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2019-01421	Уязвимость XML-анализатора браузера Internet Explorer, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2019-01483	Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01484	Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01485	Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01492	Уязвимость синтаксического анализатора набора служб Microsoft XML Core Services операционных систем Windows, позволяющая нарушителю выполнять произвольный код
BDU:2019-01494	Уязвимость синтаксического анализатора набора служб Microsoft XML Core Services операционных систем Windows, позволяющая нарушителю выполнять произвольный код
BDU:2019-01670	Уязвимость программной платформы для интеграции корпоративных приложений Spring Integration, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность...
BDU:2019-01736	Уязвимость программной интеграционной платформы SAP NetWeaver, связанная с ошибками обработки внешних объектов XML при анализе XML файла, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-01744	Уязвимость компонента ABAP Server программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-01756	Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку
BDU:2019-01770	Уязвимость анализатора XML среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-02408	Уязвимость программного средства для создания отчетов для развернутых средств безопасности Cisco Security Manager, связанная с ошибками ограничения XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации и...
BDU:2019-02524	Уязвимость плагина Jenkins Token Macro, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю подделать запросы на стороне сервера или вызвать отказ в обслуживании
BDU:2019-02648	Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю прочитать произвольные файлы
BDU:2019-03012	Уязвимость библиотеки XmlLite.dll операционной системы Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03021	Уязвимость синтаксического анализа Microsoft XML (MSXML) операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-03327	Уязвимость функции libexpat библиотеки языка C для выполнения грамматического разбора XML Expat, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03643	Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03841	Уязвимость синтаксического анализатора набора служб Microsoft XML Core Services операционных систем Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-04026	Уязвимость реализации класса RunExecutableListener поискового сервера Apache Solr и библиотеки для полнотекстового поиска Apache Lucene, позволяющая нарушителю выполнить произвольный код
BDU:2019-04132	Уязвимость веб-интерфейса управления систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ...
BDU:2019-04411	Уязвимость библиотеки JSON-lib и компонента camel-xmljson java-фреймворка Apache Camel, позволяющая нарушителю осуществить XXE-атаку
BDU:2019-04852	Уязвимость компонента XMLFileLookupService платформы обработки данных Apache NiFi, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2019-04862	Уязвимость класса XMLInputFactory контейнера OSGi Apache Karaf, позволяющая нарушителю выполнить произвольный код
BDU:2020-00068	Уязвимость программных средств для управления ресурсами Lenovo XClarity Administrator и Lenovo XClarity Integrator, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2020-00410	Уязвимость интерфейса SOAP API системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2020-00970	Уязвимость набора инструментов XSSFExportToXml Java-библиотеки для чтения и записи документов MS Office Apache POI, позволяющая нарушителю получить несанкционированный доступ на чтение файлов
BDU:2020-02137	Уязвимость функции initDocumentParser библиотеки планирования заданий Terracotta Quartz Scheduler, позволяющая нарушителю осуществить XXE-атаку
BDU:2020-02254	Уязвимость компонента org.codehaus.jackson библиотеки jackson-mapper-asl, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2020-02514	Уязвимость веб-интерфейса программного средства Cisco Hosted Collaboration Mediation Fulfillment, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2020-02524	Уязвимость веб-интерфейса программного обеспечения администрирования сети Cisco Firepower Management Center, позволяющая нарушителю перенаправить пользователя на вредоносную веб-страницу
BDU:2020-02867	Уязвимость компонента /rpc/api программного средства для управления системами Red Hat Spacewalk, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании или выполнить произвольный код
BDU:2020-03298	Уязвимость операционной системы PAN-OS, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю повысить свои привилегии
BDU:2020-03419	Уязвимость веб-интерфейса управления vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-03805	Уязвимость службы управления операционной системы PAN-OS централизованной системы управления межсетевыми экранами Palo Alto Networks Panorama, позволяющая нарушителю читать произвольные файлы
BDU:2020-03956	Уязвимость реализации конфигурации expand_external_ents Perl-модуля для обработки XML-документов в древовидном режиме XML::Twig, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
BDU:2020-04038	Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-05203	Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и получить доступ на изменение, добавление или удаление данных
BDU:2020-05204	Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и получить доступ на изменение, добавление или удаление данных
BDU:2020-05519	Уязвимость систем автоматизированного проектирования Intel Quartus Prime Pro и Intel Quartus Prime Standard, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфо...
BDU:2020-05675	Уязвимость подключаемого модуля сервера автоматизации Jenkins RapidDeploy Plugin, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку
BDU:2021-00674	Уязвимость приложения для проигрывания мультимедиаконтента Windows Media Center, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-00727	Уязвимость веб-сервисов программной платформы Spring Framework, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность информации
BDU:2021-00923	Уязвимость компонентов GanttProjectReader и PhoenixReader библиотеки MPXJ, позволяющая нарушителю провести XXE-атаки
BDU:2021-01008	Уязвимость программной библиотеки Nokogiri, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю провести SSRF-атаку или XXE-атаку
BDU:2021-01050	Уязвимость библиотеки журналирования на платформу .NET Framework log4net, связанная с ошибками ограничения XML-ссылок на внешние объекты (XXE), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой инф...
BDU:2021-01757	Уязвимость реализации WebDAV веб-сервере Yaws, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2021-01792	Уязвимость сервера отчетов WebReports, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2021-02373	Уязвимость интерфейса REST API программного обеспечения для управления межсетевыми экранами Cisco Firepower Device Manager On-Box, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-02409	Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02442	Уязвимость синтаксического анализатора XML Java-библиотеки Apache PDFBox, позволяющая нарушителю проводить XXE-атаки
BDU:2021-02560	Уязвимость веб-интерфейса управления сервера BroadWorks Messaging Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02618	Уязвимость компонента Diagnostic Assistant программного обеспечения Oracle OSS Support Tools, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02624	Уязвимость криптобиблиотеки xmlsec, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации
BDU:2021-02955	Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02959	Уязвимость системы управления базами данных Apache Derby, связанная с ошибками управления ресурсом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02967	Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации
BDU:2021-03570	Уязвимость программного обеспечения для удаленного мониторинга и управления ИТ-активами ConnectWise Automate, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код или получить несанкционир...
BDU:2021-03587	Уязвимость функции файла admin/user_import.php программного обеспечения для электронного обучения и управления контентом Chamilo, связанная с раскрытием защищаемой информации, позволяющая нарушителю осуществить XXE-атаку
BDU:2021-04391	Уязвимость компонента mailboxd (Autodiscover/Autodiscover.xml) корпоративной системы управления электронной почтой Zimbra Collaboration Suite, позволяющая нарушителю осуществить XXE-атаку
BDU:2021-04476	Уязвимость микропрограммного обеспечения системы базовой сети Huawei eCNS280, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании модуля
BDU:2021-04578	Уязвимость библиотеки Media системы управления содержимым сайта WordPress, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-04799	Уязвимость платформы семантической сети Apache Jena, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-05107	Уязвимость программного обеспечения системы биоидентификации "АССаД-ID", связанная с неверным ограничением XML-ссылок на внешний объект, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-05513	Уязвимость сервера корпоративного магазина приложений Citrix StoreFront, позволяющая нарушителю проводить XXE-атаки
BDU:2021-05600	Уязвимость компонента BC-BMT-BPM-DSK сервера веб-приложений SAP NetWeaver Java Application Server, позволяющая нарушителю проводить XXE-атаки
BDU:2021-05670	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2021-05733	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2021-05889	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2021-05923	Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-06367	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код
BDU:2022-00302	Уязвимость интерпретатора языка программирования Ruby, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2022-01017	Уязвимость программного обеспечения для настройки и диагностики процессов ToolboxST, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-01899	Уязвимость реализации объекта extractor.rdfa.XSLTStylesheet класса XSLTStylesheet библиотеки Apache Any23, позволяющая нарушителю проводить XXE-атаки
BDU:2022-02057	Уязвимость модуля Perl XML::Atom , связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2022-02106	Уязвимость компонента BI Publisher Security программного средства для создания отчетов Oracle BI Publisher, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-02263	Уязвимость инструмента мониторинга Glances, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2022-02991	Уязвимость функции импорта программного обеспечения инфраструктуры Cisco Enterprise NFV Infrastructure Software (NFVIS), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-03026	Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или ис...
BDU:2022-03027	Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или ис...
BDU:2022-03411	Уязвимость микропрограммного обеспечения шлюза Cisco Expressway и микропрограммного обеспечения устройства управления вызовами Cisco TelePresence Video Communication Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая...
BDU:2022-03872	Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю проводить XXE-атаки
BDU:2022-03879	Уязвимость системы управления жизненным циклом продукции Teamcenter, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2022-04166	Уязвимость компонента cewolf программного средства управления и отчетности Windows Active Directory (AD) Zoho ManageEngine ADAudit Plus, позволяющая нарушителю проводить XXE-атаки
BDU:2022-04506	Уязвимость плагина SAML платформы управления средами выполнения виртуальных машин Apache CloudStack, позволяющая нарушителю проводить XXE-атаки
BDU:2022-04918	Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с ошибками ограничений XML-ссылок на внешние объекты (XXE), позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-04976	Уязвимость программного обеспечения проектирования и настройки контроллеров Connected Components Workbench (CCW), рабочей станции автоматизированных систем безопасности Safety Instrumented Systems Workstation (SISW) и среды разработки приложений для...
BDU:2022-05089	Уязвимость пакета pki-core операционной системы Red Hat Enterprise Linux , позволяющая нарушителю проводить XXE-атаки
BDU:2022-05139	Уязвимость набора утилит VMware Tools для операционных систем Windows, позволяющая нарушителю позволяющая нарушителю проводить XXE-атаки
BDU:2022-05207	Уязвимость SCADA-системы AVEVA Edge, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к конфиденциальным данным
BDU:2022-05563	Уязвимость реализации модуля WebSocket сервера для Jabber/XMPP Prosody, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-05602	Уязвимость компонента DOMDeserializer библиотеки FasterXML jackson-databind, позволяющая нарушителю проводить XXE-атаки
BDU:2022-07020	Уязвимость платформы виртуализации VMware Cloud Foundation, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию
BDU:2022-07189	Уязвимость фреймворка управления динамическими данными Apache Calcite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2023-00172	Уязвимость функции импорта модуля административного интерфейса программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-00220	Уязвимость библиотеки Libxml2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2023-00253	Уязвимость программного средства IBM Sterling Partner Engagement Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-00617	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или осуществить SSRF-атаку
BDU:2023-00682	Уязвимость специализированной среды разработки программного обеспечения SCADAPack Workbench, позволяющая нарушителю выполнить передачу данных из локальных файлов в удаленную систему
BDU:2023-00857	Уязвимость платформы для автоматизации рабочих процессов VMware vRealize Orchestrator, средства управления виртуальной инфраструктурой VMware vRealize Automation, платформы виртуализации VMware Cloud Foundation, связанная с неверным ограничением XML-...
BDU:2023-01220	Уязвимость программной платформы ColdFusion, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
BDU:2023-01230	Уязвимость программной платформы ColdFusion, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-01306	Уязвимость системы управления сетью NetAct, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или осуществить SSRF-атаку
BDU:2023-01307	Уязвимость системы управления сетью NetAct, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или осуществить SSRF-атаку
BDU:2023-01995	Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2023-02670	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-02671	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-02896	Уязвимость функции RequestInfoByXml реализации программного интерфейса API платформы для совместной работы и автоматизации делопроизводства Weaver e-cology, позволяющая нарушителю получить доступ на чтение, изменение, или удаление данных
BDU:2023-02943	Уязвимость сервера приложений WebSphere Application Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2023-02964	Уязвимость сервера данных OPC Factory Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к чтению файловой системы
BDU:2023-03117	Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2023-03411	Уязвимость функции "Add UCS Device" программного обеспечения для мониторинга сети OpManager, OpManager MSP, OpManager Plus, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05939	Уязвимость программного средства для управления устройствами в Интернете вещей (IoT) Eclipse Leshan, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку
BDU:2023-06251	Уязвимость программного средства управления промышленными процессами EcoStruxure OPC UA Server Expert, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2023-06583	Уязвимость программной платформы Microsoft .NET Framework, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2023-06655	Уязвимость модуля plistlib интерпретатора языка программирования Python, позволяющая нарушителю проводить XXE-атаки
BDU:2023-06656	Уязвимость интерпретатора языка программирования PHP, связанная с неверным ограничением XML-ссылок на внешний объект, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к конфиденциальным данным
BDU:2023-06807	Уязвимость функции addDv7Probe платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-06848	Уязвимость программной платформы для промышленной автоматизации VBASE Automation Base, связанная с неверным ограничением XML-ссылок на внешний объект, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к конфи...
BDU:2023-07923	Уязвимость программного средства обработки и управления финансовыми транзакциями, осуществляемыми через международную систему передачи сообщений SWIFT, IBM Financial Transaction Manager for SWIFT Services, связанная с неверным ограничением XML-ссылок...
BDU:2023-08021	Уязвимость редактора моделирования Siemens OPC UA Modeling Editor (SiOME), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08029	Уязвимость программного средства хранения и управления данными IBM Security Directory Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать влияние на конфиденциальность и доступность защищаемой инфор...
BDU:2023-08080	Уязвимость системы управления контентом OpenCMS, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код путём отправки специально сформированного POST-запроса
BDU:2023-08103	Уязвимость серверного корпоративного программного обеспечения мониторинга и управления проектами баз знаний Adobe RoboHelp Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный до...
BDU:2023-09069	Уязвимость библиотеки разбора XML Expat, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2023-09138	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09139	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09140	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09141	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09142	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2024-00154	Уязвимость метода doDocument программного обеспечения для управления источниками бесперебойного питания Voltronic Power ViewPower, позволяющая нарушителю проводить XXE-атаки
BDU:2024-00233	Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-00359	Уязвимость метода декодирования системы управления мобильными устройствами Avalanche, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2024-01178	Уязвимость плагина Qualys Policy Compliance Connector Plugin, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-01287	Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA), связанная с неверным ограниче...
BDU:2024-01431	Уязвимости программного средства защиты доступа к приложениям в среде Docker IBM Security Verify Access Docker, системы управления доступом IBM Security Verify Access, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая наруш...
BDU:2024-01575	Уязвимость библиотеки обработки XLSX-файлов Spreadsheet::ParseXLSX для языка программирования Perl, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-01622	Уязвимость библиотеки codehaus-plexus фреймворка Apache Maven, связана с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код
BDU:2024-01976	Уязвимость библиотеки синтаксического анализатора XML libexpat, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02252	Уязвимость пакетного менеджера Apache Ivy, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2024-02259	Уязвимость пакета com.h2database:h2 системы управления базами данных H2, позволяющая нарушителю проводить XXE-атаки
BDU:2024-02530	Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-02640	Уязвимость программного обеспечения централизованного управления резервным копированием и восстановлением данных Dell PowerProtect Data Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкци...
BDU:2024-03880	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Enterprise Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанк...
BDU:2024-03895	Уязвимость интерактивной браузерной среды для анализа и визуализации данных Apache Zeppelin SAP, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ обслуживании
BDU:2024-04655	Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и плагина Adobe Commerce Webhooks, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить про...
BDU:2024-05018	Уязвимость компонента Guided Procedures программного средства создания и развертывания веб-приложений SAP NetWeaver AS for Java, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации
BDU:2024-05024	Уязвимость компонента Oozie Workflow Scheduler программного средства Apache Ambari, позволяющая нарушителю проводить XXE-атаки
BDU:2024-06003	Уязвимость веб-интерфейса программного средства управления требованиями в процессе разработки программного обеспечения IBM Engineering Requirements Management DOORS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и...
BDU:2024-07004	Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неправильным ограничением ссылки на внешнюю сущность XML, позволяющая нарушителю выполнить произвольный код
BDU:2024-07164	Уязвимость библиотеки libxml2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к произвольным файлам на сервере или выполнить сетевое сканирование внутренней и внешней инфраструктуры
BDU:2024-07273	Уязвимость метода ImportXml программного средства управления конечными точками Ivanti EPM, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2024-09751	Уязвимость сервера приложений IBM WebSphere Application Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть конфиденциальную информации или использовать ресурсы памяти
BDU:2024-10277	Уязвимость компонента SmartDeviceServer системы управления мобильными устройствами Ivanti Avalanche, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-10609	Уязвимость программы управления контроллером движения OMRON CX-Motion Pro, связанная с некорректным ограничением ссылок на внешние сущности XML (XXE), позволяющая нарушителю получить доступ к защищаемой информации
BDU:2024-10613	Уязвимость функции mergeEnabledFeaturesFromPolicy() библиотеки проверки соответствия PDF-документов стандартам PDF/A veraPDF, позволяющая нарушителю проводить XXE-атаки
BDU:2024-10802	Уязвимость программного обеспечения для управления лицензиями программных продуктов HPE AutoPass License Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2024-11080	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Enterprise Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанк...
BDU:2024-11297	Уязвимость библиотеки Ucum языка программирования Java, позволяющая нарушителю проводить XXE-атаки
BDU:2024-11565	Уязвимость компонента XMLParser системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00085	Уязвимость программной платформы для мониторинга и управления IT-инфраструктурой Operations Bridge Manager (OBM), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к конфиденци...
BDU:2025-00190	Уязвимость серверов приложений IBM WebSphere Application Server Liberty и IBM WebSphere Application Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-00423	Уязвимость сервера системы непрерывной интеграции и доставки (CI/CD) GoCD, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00430	Уязвимость сервера системы непрерывной интеграции и доставки (CI/CD) GoCD, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00486	Уязвимость функционального набора инструментов для приложений Kotlin HTTP http4k, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00557	Уязвимость программного обеспечения для создания проектов автоматизации Schneider Electric Web Designer сетевых модулей BMXNOE0110(H), BMENOC0311(C), BMENOC0321(C) и BMXNOR0200H, связанная с неверным ограничением XML-ссылок на внешние объекты, позвол...
BDU:2025-01565	Уязвимость модулей Generic Data Mapper, Engineering Adapter и Engineering Interface программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, позволяющая нарушителю осуществить XXE-атаку
BDU:2025-02079	Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-02210	Уязвимость реализации метода validateAgainstXSD программного средства для удаленного мониторинга, управления и поддержки серверов и систем хранения данных HPE Insight Remote Support, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-03887	Уязвимость класса SAXBuilder инструмента управления проектами и обмена информацией в системе JIRA JIRA Macro, позволяющая нарушителю проводить XXE-атаки
BDU:2025-04265	Уязвимость компонента XML parsers средства разработки программного обеспечения iText, позволяющая нарушителю проводить XXE-атаки
BDU:2025-04926	Уязвимость программных продуктов Proself Enterprise/Standard Edition, Proself Gateway Edition и Proself Mail Sanitize Edition, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-05327	Уязвимость программного обеспечения для интеграции старых и новых технологий IBM EntireX, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-06485	Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или использовать ресурсы памяти
BDU:2025-06578	Уязвимость класса GetMdmMessage программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06603	Уязвимость класса GetMdmMessage программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06619	Уязвимость инструмента для преобразований XML-файлов Apache XML Graphics FOP, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06622	Уязвимость метода com.ilient.agentApi.LshwAgentdoPost программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06644	Уязвимость функции импорта docx программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management), позволяющая нарушителю читать произвольные файлы
BDU:2025-06763	Уязвимость модудей gt-xsd-core и gt-wfs-ng библиотеки GeoTools, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06813	Уязвимость веб-интерфейса платформ управления рисками на предприятии IBM OpenPages и IBM OpenPages with Watson, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06844	Уязвимость программного обеспечения управления кластерами Dell Storage Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-06852	Уязвимость программного обеспечения IBM Aspera Shares, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть конфиденциальную информацию
BDU:2025-08194	Уязвимость платформы для тестирования производительности Akamai CloudTest, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность
BDU:2025-08382	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю обойти ограничения безопасности
BDU:2025-08383	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю обойти ограничения безопасности
BDU:2025-08737	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или обойти существующие ограничения безопасности и вызват...
BDU:2025-08867	Уязвимость библиотеки генерации отчетов и документов FastReport .NET, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ на чтение файлов и осуществить SSRF-атаку
BDU:2025-09259	Уязвимость сетевой операционной системы SmartFabric OS10, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-09279	Уязвимость библиотеки PHPOffice Math, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации
BDU:2025-09480	Уязвимость корпоративной платформы для создания, управления и обработки электронных форм, документов и бизнес-процессов Adobe Experience Manager (AEM) Forms on JEE, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушите...
BDU:2025-09714	Уязвимость системы сбора и анализа событий IBM QRadar SIEM, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая получить несанкционированный доступ к защищаемой информации
BDU:2025-10402	Уязвимость класса PreventLocalEntityResolver программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-10404	Уязвимость веб-сервиса GeoServer Web Feature Service (WFS) программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-10465	Уязвимость программного обеспечения для хранения и защиты данных Dell EMC AppSync, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-10854	Уязвимость функции parseDocument кроссплатформенного инструмента для работы с базами данных DBeaver, позволяющая нарушителю проводить XXE-атаки
BDU:2025-10894	Уязвимость программное решение для обеспечения безопасности и управления доступом к облачным приложениям и данным Dell CloudLink, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-11250	Уязвимость методов addElement и addAttribute библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю проводить XXE-атаки
BDU:2025-11458	Уязвмость компонента Debbugging интегрированной среды разработки программного обеспечения GoLand, позволяющая нарушителю проводить XXE-атаки
BDU:2025-13192	Уязвимость конфигурации ContentNegotiation фреймворка для создания веб-приложений JetBrains Ktor, позволяющая нарушителю проводить XXE-атаки
BDU:2025-13431	Уязвимость платформы для интеллектуальной автоматизации рабочих процессов Xerox FreeFlow Core, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-13676	Уязвимость веб-интерфейса Splunk Web платформы для операционного анализа Splunk Enterprise, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14560	Уязвимость класса XMLToolMessage python-фреймворка для разработки приложений langroid, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию
BDU:2025-14710	Уязвимость реализации протокола Web Map Service (WMS) программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании
BDU:2025-15474	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15475	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15506	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15736	Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю выполнить произвольный код
BDU:2026-00040	Уязвимость компонента Director NBR системы резервного копирования, репликации и восстановления виртуальных машин NAKIVO Backup and Replication, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2026-00260	Уязвимость среды разработки программного обеспечения систем автоматизации технологических процессов Totally Integrated Automation Portal (Portal TIA), программного обеспечения для моделирования и симуляции работы контроллеров серии Siemens S7, связан...
BDU:2026-00377	Уязвимость платформы управления политиками соединений Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю загружать произвольны...
BDU:2026-00894	Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю проводить XXE-атаки
BDU:2026-01705	Уязвимость классов ManifestParser и AmazonS3 системы контроля версий Git на языке Java Eclipse JGit, позволяющая нарушителю проводить XXE-атаки
BDU:2026-01709	Уязвимость компонента org.assertj.core.util.xml.XmlStringPrettyFormatter Java-библиотеки для написания проверок в модульных тестах AssertJ, позволяющая нарушителю проводить XXE-атаки
BDU:2026-01882	Уязвимость интерфейса рабочей станции EcoStruxure Building Operation Workstation и веб-интерфейса программного обеспечения EcoStruxure Building Operation WebStation, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушит...

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2012-1102	It was discovered that the XML::Atom Perl module before version 0.39 did not disable external entities when parsing XML from...
CVE-2014-125087	java-xmlbuilder xml external entity reference
CVE-2015-10029	kelvinmo simplexrd simplexrd.class.php xml external entity reference
CVE-2015-10082	UIKit0 libplist XML xplist.c plist_from_xml xml external entity reference
CVE-2016-15011	e-Contract dssp SignResponseVerifier.java checkSignResponse xml external entity reference
CVE-2016-15026	3breadt dd-plist xml external entity reference
CVE-2016-9487	EpubCheck 4.0.1 is vulnerable to external XML entity processing attacks
CVE-2016-9491	ManageEngine Applications Manager 12 and 13 is vulnerable to privilege escalation due to improper restriction of an XML exter...
CVE-2017-20151	iText RUPS XfaFile.java xml external entity reference
CVE-2017-3206	The Action Message Format (AMF3) deserializers used by Flamingo amf-serializer by Exadel, version 2.2.0, allows external enti...
CVE-2017-7464	It was found that the JAXP implementation used in JBoss EAP 7.0 for SAX and DOM parsing is vulnerable to certain XXE flaws. A...
CVE-2017-7465	It was found that the JAXP implementation used in JBoss EAP 7.0 for XSLT processing is vulnerable to code injection. An attac...
CVE-2017-7545	It was discovered that the XmlUtils class in jbpmmigration 6.5 performed expansion of external parameter entities while parsi...
CVE-2017-7907	An Improper XML Parser Configuration issue was discovered in Schneider Electric Wonderware Historian Client 2014 R2 SP1 and p...
CVE-2018-0100	A vulnerability in the Profile Editor of the Cisco AnyConnect Secure Mobility Client could allow an unauthenticated, local at...
CVE-2018-0108	A vulnerability in Cisco WebEx Meetings Server could allow an unauthenticated, remote attacker to collect customer files via...
CVE-2018-0414	Cisco Secure Access Control Server XML External Entity Injection Vulnerability
CVE-2018-10600	SEL AcSELerator Architect version 2.2.24.0 and prior allows unsanitized input to be passed to the XML parser, which may allow...
CVE-2018-10613	Multiple variants of XML External Entity (XXE) attacks may be used to exfiltrate data from the host Windows platform in GE MD...
CVE-2018-10614	An XXE vulnerability in LeviStudioU, Versions 1.8.29 and 1.8.44 can be exploited when the application processes specially cra...
CVE-2018-1077	Spacewalk 2.6 contains an API which has an XXE flaw allowing for the disclosure of potentially sensitive information from the...
CVE-2018-12471	External Entity processing in the RegistrationSharing module
CVE-2018-12544	In version from 3.5.Beta1 to 3.5.3 of Eclipse Vert.x, the OpenAPI XML type validator creates XML parsers without taking appro...
CVE-2018-15444	Cisco Energy Management Suite XML External Entity Vulnerability
CVE-2018-17247	Elasticsearch Security versions 6.5.0 and 6.5.1 contain an XXE flaw in Machine Learning's find_file_structure API. If a polic...
CVE-2018-17889	In WECON Technology Co., Ltd. PI Studio HMI versions 4.1.9 and prior and PI Studio versions 4.2.34 and prior when parsing pro...
CVE-2018-17912	An XXE vulnerability exists in CASE Suite Versions 3.10 and prior when processing parameter entities, which may allow remote...
CVE-2018-25082	zwczou WeChat SDK Python to_xml xml external entity reference
CVE-2019-10172	A flaw was found in org.codehaus.jackson:jackson-mapper-asl:1.9.x libraries. XML external entity vulnerabilities similar CVE-...
CVE-2019-10244	In Eclipse Kura versions up to 4.0.0, the Web UI package and component services, the Artemis simple Mqtt component and the em...
CVE-2019-10976	Mitsubishi Electric FR Configurator2, Version 1.16S and prior. This vulnerability is triggered when input passed to the XML p...
CVE-2019-12711	Cisco Unified Communications Manager XML External Expansion Vulnerability
CVE-2019-15983	Cisco Data Center Network Manager XML External Entity Read Access Vulnerability
CVE-2019-1698	Cisco IoT Field Network Director XML External Entity Vulnerability
CVE-2019-17637	In all versions of Eclipse Web Tools Platform through release 3.18 (2020-06), XML and DTD files referring to external entitie...
CVE-2019-18227	Advantech WISE-PaaS/RMM, Versions 3.3.29 and prior. XXE vulnerabilities exist that may allow disclosure of sensitive data.
CVE-2019-18943	XML External Entity processing
CVE-2019-1903	Cisco Security Manager XML Entity Expansion Vulnerability
CVE-2019-3752	Dell EMC Avamar Server versions 7.4.1, 7.5.0, 7.5.1, 18.2 and 19.1 and Dell EMC Integrated Data Protection Appliance (IDPA) v...
CVE-2019-3768	RSA Authentication Manager versions prior to 8.4 P7 contain an XML Entity Injection Vulnerability. A remote authenticated mal...
CVE-2019-3772	Spring Integration XML External Entity Injection (XXE)
CVE-2019-3773	Spring Web Services XML External Entity Injection (XXE)
CVE-2019-3774	Spring Batch XML External Entity Injection (XXE)
CVE-2019-6194	An XML External Entity (XXE) processing vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to...
CVE-2020-10629	WebAccess/NMS (versions prior to 3.0.2) does not sanitize XML input. Specially crafted XML input could allow an attacker to r...
CVE-2020-12025	Rockwell Automation Logix Designer Studio 5000 Versions 32.00, 32.01, and 32.02 vulnerable to an xml external entity (XXE) vu...
CVE-2020-14379	A flaw was found in Red Hat AMQ Broker in a way that a XEE attack can be done via Broker's configuration files, leading to de...
CVE-2020-14478	IMPROPER RESTRICTION OF XML EXTERNAL ENTITY REFERENCE CWE-611
CVE-2020-15232	XML External Entity attack in mapfish-print
CVE-2020-15418	This vulnerability allows remote attackers to disclose sensitive information on affected installations of Veeam ONE 10.0.0.75...
CVE-2020-15419	This vulnerability allows remote attackers to disclose sensitive information on affected installations of Veeam ONE 10.0.0.75...
CVE-2020-1693	A flaw was found in Spacewalk up to version 2.9 where it was vulnerable to XML internal entity attacks via the /rpc/api endpo...
CVE-2020-17408	This vulnerability allows remote attackers to disclose sensitive information on affected installations of NEC ExpressCluster...
CVE-2020-2012	PAN-OS: Panorama: XML external entity reference ('XXE') vulnerability leads the to information leak
CVE-2020-25649	A flaw was found in FasterXML Jackson Databind, where it did not have entity expansion secured properly. This flaw allows vul...
CVE-2020-26064	A vulnerability in the web UI of Cisco SD-WAN vManage Software could allow an authenticated, remote attacker to gain read and...
CVE-2020-26066	Cisco SD-WAN vManage Software XML External Entity Vulnerability
CVE-2020-26229	XML External Entity in Dashboard Widget
CVE-2020-26247	XXE in Nokogiri
CVE-2020-26981	A vulnerability has been identified in JT2Go (All versions < V13.1.0), Teamcenter Visualization (All versions < V13.1.0). Whe...
CVE-2020-27858	This vulnerability allows remote attackers to disclose sensitive information on affected installations of CA Arcserve D2D 16....
CVE-2020-28387	A vulnerability has been identified in Solid Edge SE2020 (All Versions < SE2020MP13), Solid Edge SE2021 (All Versions < SE202...
CVE-2020-3256	Cisco Hosted Collaboration Mediation Fulfillment XML External Expansion Vulnerability
CVE-2020-3405	Cisco SD-WAN vManage Software XML External Entity Vulnerability
CVE-2020-36640	bonitasoft bonita-connector-webservice SecureWSConnector.java TransformerConfigurationException xml external entity reference
CVE-2020-36641	gturri aXMLRPC ResponseParser.java ResponseParser xml external entity reference
CVE-2020-5323	Dell EMC OpenManage Enterprise (OME) versions prior to 3.2 and OpenManage Enterprise-Modular (OME-M) versions prior to 1.10.0...
CVE-2020-6590	Forcepoint Web Security Content Gateway versions prior to 8.5.4 improperly process XML input, leading to information disclosu...
CVE-2020-7032	Avaya WebLM Improper Restriction of XML External Entity Reference
CVE-2020-7035	XXE in Avaya Aura Orchestration Designer
CVE-2020-7036	XXE in Avaya Callback Assist Administration
CVE-2020-7037	Avaya Equinox Conferencing XXE vulnerability
CVE-2020-7572	A CWE-611 Improper Restriction of XML External Entity Reference vulnerability exists in EcoStruxure Building Operation WebRep...
CVE-2020-8256	A vulnerability in the Pulse Connect Secure < 9.1R8.2 admin web interface could allow an authenticated attacker to gain arbit...
CVE-2020-9044	Metasys Improper Restriction of XML External Entity Reference
CVE-2021-1369	Cisco Firepower Device Manager On-Box Software XML External Entity Vulnerability
CVE-2021-1483	Cisco SD-WAN vManage Software XML External Entity Vulnerability
CVE-2021-1530	Cisco BroadWorks Messaging Server XML External Entity Injection Vulnerability
CVE-2021-21266	XXE vulnerability in OpenHAB
CVE-2021-21517	SRS Policy Manager 6.X is affected by an XML External Entity Injection (XXE) vulnerability due to a misconfigured XML parser...
CVE-2021-22140	Elastic App Search versions after 7.11.0 and before 7.12.0 contain an XML External Entity Injection issue (XXE) in the App Se...
CVE-2021-22501	Improper Restriction of XML External Entity Reference vulnerability in OpenText™ Operations Bridge Manager allows Input Data...
CVE-2021-23901	An XML external entity (XXE) injection vulnerability exists in the Nutch DmozParser
CVE-2021-27492	When opening a specially crafted 3DXML file, the application containing Datakit Software libraries CatiaV5_3dRead, CatiaV6_3d...
CVE-2021-27604	In order to prevent XML External Entity vulnerability in SAP NetWeaver ABAP Server and ABAP Platform (Process Integration - E...
CVE-2021-29447	WordPress Authenticated XXE attack when installation is running PHP 8
CVE-2021-29620	XXE vulnerability on Launch import with externally-defined DTD file
CVE-2021-3055	PAN-OS: XML External Entity (XXE) Reference Vulnerability in the PAN-OS Web Interface
CVE-2021-32754	Improper Restriction of XML External Entity Reference in de.tud.sse
CVE-2021-32972	Panasonic FPWIN Pro, all Versions 7.5.1.1 and prior, allows an attacker to craft a project file specifying a URI that causes...
CVE-2021-34436	In Eclipse Theia 0.1.1 to 0.2.0, it is possible to exploit the default build to obtain remote code execution (and XXE) via th...
CVE-2021-34706	Cisco Identity Services Engine XML External Entity Injection Vulnerability
CVE-2021-37178	A vulnerability has been identified in Solid Edge SE2021 (All Versions < SE2021MP7). An XML external entity injection vulnera...
CVE-2021-3836	Improper Restriction of XML External Entity Reference in dbeaver/dbeaver
CVE-2021-3869	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2021-3878	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2021-3902	Improper Restriction of XML External Entity Reference in dompdf/dompdf
CVE-2021-40356	A vulnerability has been identified in Teamcenter V12.4 (All versions < V12.4.0.8), Teamcenter V13.0 (All versions < V13.0.0....
CVE-2021-40439	Billion Laughs
CVE-2021-40500	SAP BusinessObjects Business Intelligence Platform (Crystal Reports) - versions 420, 430, allows an unauthenticated attacker...
CVE-2021-40722	AEM Forms Improper Restriction of XML External Entity Reference
CVE-2021-41042	In Eclipse Lyo versions 1.0.0 to 4.1.0, a TransformerFactory is initialized with the defaults that do not restrict DTD loadin...
CVE-2021-41098	Improper Restriction of XML External Entity Reference (XXE) in Nokogiri on JRuby
CVE-2021-4295	ONC code-validator-api XML CodeValidatorApiConfiguration.java vocabularyValidationConfigurations xml external entity referenc...
CVE-2021-4311	Talend Open Studio for MDM XML xml external entity reference
CVE-2021-43990	ICSA-22-109-03 FANUC ROBOGUIDE Simulation Platform
CVE-2021-44477	GE Gas Power ToolBoxST Improper Restriction of XML External Entity Reference
CVE-2022-0198	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2022-0219	Improper Restriction of XML External Entity Reference in skylot/jadx
CVE-2022-0221	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could result in information disclo...
CVE-2022-0239	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2022-0265	Improper Restriction of XML External Entity Reference in hazelcast/hazelcast
CVE-2022-0272	Improper Restriction of XML External Entity Reference in detekt/detekt
CVE-2022-0839	Improper Restriction of XML External Entity Reference in liquibase/liquibase
CVE-2022-0861	ePO XML extended entity vulnerability
CVE-2022-1018	ICSA-22-088-01 Rockwell Automation ISaGRAF
CVE-2022-1331	Delta Electronics DMARS Improper Restriction of XML External Entity Reference
CVE-2022-1700	Improper Restriction of XML External Entity Reference ('XXE') vulnerability in the Policy Engine of Forcepoint Data Loss Prev...
CVE-2022-1704	Inductive Automation Ignition
CVE-2022-20938	A vulnerability in the module import function of the administrative interface of Cisco Firepower Management Center (FMC) Soft...
CVE-2022-2131	OpenKM XXE Injection
CVE-2022-21949	Multiple XXE vulnerabilities in OBS
CVE-2022-22486	IBM Tivoli Workload Scheduler XML external entity injection
CVE-2022-22795	Signiant - Manager+Agents XML External Entity (XXE)
CVE-2022-23031	On BIG-IP FPS, ASM, and Advanced WAF versions 16.1.x before 16.1.1, 15.1.x before 15.1.4, and 14.1.x before 14.1.4.4, an XML...
CVE-2022-23170	SysAid - Okta SSO integration
CVE-2022-2330	XXE vulnerability in DLP Endpoint for Windows
CVE-2022-23640	Improper Restriction of XML External Entity Reference in Excel-Streaming-Reader
CVE-2022-2414	Access to external entities when parsing XML documents can lead to XML external entity (XXE) attacks. This flaw allows a remo...
CVE-2022-24898	Arbitrary file access through XML parsing in org.xwiki.commons:xwiki-commons-xml
CVE-2022-2759	Delta Electronics Delta Robot Automation Studio (DRAS) versions prior to 1.13.20 are affected by improper restrictions where...
CVE-2022-2838	In Eclipse Sphinx™ before version 0.13.1, Apache Xerces XML Parser was used without disabling processing of referenced extern...
CVE-2022-29265	Improper Restriction of XML External Entity References in Multiple Components
CVE-2022-29801	A vulnerability has been identified in Teamcenter V12.4 (All versions < V12.4.0.13), Teamcenter V13.0 (All versions < V13.0.0...
CVE-2022-32285	A vulnerability has been identified in Mendix SAML Module (Mendix 7 compatible) (All versions < V1.16.6), Mendix SAML Module...
CVE-2022-32458	Data Systems Consulting Co., Ltd. BPM - XML External Entity (XXE) Injection
CVE-2022-3338	XXE in Trellix ePO server
CVE-2022-3340	Trellix IPS Manager vulnerable to XXE
CVE-2022-35168	Due to improper input sanitization of XML input in SAP Business One - version 10.0, an attacker can perform a denial-of-servi...
CVE-2022-36969	This vulnerability allows remote attackers to disclose sensitive information on affected installations of AVEVA Edge 2020 SP2...
CVE-2022-38389	IBM Tivoli Workload Scheduler XML external entity injection
CVE-2022-38419	Adobe ColdFusion Solr Service XML External Entity Processing Arbitrary file system read
CVE-2022-39135	Apache Calcite: potential XEE attacks
CVE-2022-39954	An improper restriction of xml external entity reference in Fortinet FortiNAC version 9.4.0 through 9.4.1, FortiNAC version 9...
CVE-2022-40705	Apache SOAP: XML External Entity Injection (XXE) allows unauthenticated users to read arbitrary files via HTTP
CVE-2022-41967	Improper Restriction of XML External Entity Reference in Dragonfly
CVE-2022-42341	Adobe ColdFusion Improper Restriction of XML External Entity Reference Arbitrary file system read
CVE-2022-43473	A blind XML External Entity (XXE) vulnerability exists in the Add UCS Device functionality of ManageEngine OpManager 12.6.168...
CVE-2022-43570	XML External Entity Injection through a custom View in Splunk Enterprise
CVE-2022-43941	Hitachi Vantara Pentaho Business Analytics Server - Improper Restriction of XML External Entity Reference
CVE-2022-45876	CVE-2022-45876
CVE-2022-4607	3D City Database OGC Web Feature Service xml external entity reference
CVE-2022-46751	Apache Ivy: XML External Entity vulnerability in Apache Ivy
CVE-2022-4818	Talend Open Studio for MDM SystemStorageWrapper.java xml external entity reference
CVE-2023-0871	An XML External Entity injection vulnerability
CVE-2023-1288	ENOVIA Live Collaboration V6R2013xE is affected by an XML External Entity injection (XXE) vulnerability
CVE-2023-20030	Cisco Identity Services Engine XML External Entity Injection Vulnerability
CVE-2023-20052	On Feb 15, 2023, the following vulnerability in the ClamAV scanning library was disclosed: A vulnerability in the DMG fi...
CVE-2023-20173	Cisco Identity Services Engine XML External Entity Injection Vulnerabilities
CVE-2023-20174	Cisco Identity Services Engine XML External Entity Injection Vulnerabilities
CVE-2023-2161	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause unauthorized read acc...
CVE-2023-22274	ZDI-CAN-21305: Adobe RoboHelp Server UpdateCommandStream XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-22832	Apache NiFi: Improper Restriction of XML External Entity References in ExtractCCDAAttributes
CVE-2023-23926	APOC (Awesome Procedures on Cypher) is an add-on library for Neo4j. An XML External Entity (XXE) vulnerability found in the a...
CVE-2023-24466	Possible XML External Entity Injection in OpenText iManager
CVE-2023-25926	IBM Security Guardium Key Lifecycle Manager XML external entity injection
CVE-2023-26043	XML External Entity (XXE) injection in GeoServer style upload functionality
CVE-2023-26461	XML External Entity (XXE) vulnerability in SAP NetWeaver (SAP Enterprise Portal)
CVE-2023-27476	XML External Entity (XXE) Injection in OWSLib
CVE-2023-27480	Data leak through a XAR import XXE attack in xwiki-platform-xar-model
CVE-2023-27554	IBM WebSphere Application Server XML external entity injection
CVE-2023-27874	IBM Aspera Faspex XML external entity injection
CVE-2023-27876	IBM TRIRIGA Application Platform XML external entity injection
CVE-2023-2806	Weaver e-cology API RequestInfoByXml xml external entity reference
CVE-2023-28828	A vulnerability has been identified in Polarion ALM (All versions < V22R2). The application contains a XML External Entity In...
CVE-2023-30951	CVE-2023-30951
CVE-2023-3113	An unauthenticated XML external entity injection (XXE) vulnerability exists in LXCA's Common Information Model (CIM) server t...
CVE-2023-32327	IBM Security Access Manager Container XML external entity injection
CVE-2023-32706	Denial Of Service due to Untrusted XML Tag in XML Parser within SAML Authentication
CVE-2023-3276	Dromara HuTool XML Parsing Module XmlUtil.java readBySax xml external entity reference
CVE-2023-35389	Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability
CVE-2023-35892	IBM Financial Transaction Manager for SWIFT Services XML external entity injection
CVE-2023-36419	Azure HDInsight Apache Oozie Workflow Scheduler XXE Elevation of Privilege Vulnerability
CVE-2023-37200	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause loss of confidentiali...
CVE-2023-38490	Kirby XML External Entity (XXE) vulnerability in the XML data handler
CVE-2023-38693	RCE in Lucee REST endpoint
CVE-2023-3892	Unsafe XML parsing of 3rd party DICOM private tags may lead to XXE
CVE-2023-39472	Inductive Automation Ignition SimpleXMLReader XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-40503	LG Simple Editor saveXmlFile XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-40506	LG Simple Editor copyContent XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-40507	LG Simple Editor copyContent XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-41034	DDFFileParser in eclipse leshan is vulnerable to XXE Attacks
CVE-2023-41365	Information Disclosure vulnerability in SAP Business One (B1i)
CVE-2023-41369	External Entity Loop vulnerability in SAP S/4HANA (Create Single Payment application)
CVE-2023-42035	Visualware MyConnection Server doIForward XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-4218	XXE in eclipse.platform / Eclipse IDE
CVE-2023-42445	Possible local file exfiltration by XML External entity injection
CVE-2023-43067	Dell Unity prior to 5.3 contains an XML External Entity injection vulnerability. An XXE attack could potentially exploit thi...
CVE-2023-44412	D-Link D-View addDv7Probe XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-45139	fonttools XML External Entity Injection (XXE) Vulnerability
CVE-2023-45192	IBM Engineering Requirements Management DOORS Next XML external entity injection
CVE-2023-4554	XML External Entity (XXE) Processing
CVE-2023-46590	A vulnerability has been identified in Siemens OPC UA Modelling Editor (SiOME) (All versions < V2.8). Affected products suffe...
CVE-2023-47160	IBM Cognos Controller XML external entity injection
CVE-2023-48362	Apache Drill: XXE Vulnerability in XML Format Reader
CVE-2023-49110	XML External Entity Injection in Kiuwan SAST
CVE-2023-49733	Apache Cocoon's StreamGenerator is vulnerable to XXE injection
CVE-2023-50168	Pega Platform from 6.x to 8.8.4 is affected by an XXE issue with PDF Generation.
CVE-2023-50304	IBM Engineering Requirements Management DOORS XML external entity injection
CVE-2023-50380	Apache Ambari: authenticated users could perform XXE to read arbitrary files on the server
CVE-2023-5136	Incorrect Permission Assignment in the TopoGrafix DataPlugin for GPX
CVE-2023-51591	Voltronic Power ViewPower Pro doDocument XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51600	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51601	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51602	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51604	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51605	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-6147	Possible XXE vulnerability in Jenkins Plugin for Qualys Policy Compliance
CVE-2023-6149	Possible XXE vulnerability in Jenkins Plugin for Qualys Web Application Security
CVE-2023-6194	In Eclipse Memory Analyzer versions 0.7 to 1.14.0, report definition XML files are not filtered to prohibit document type def...
CVE-2023-6280	XML External Entity Reference on 52North WPS
CVE-2023-6721	Improper Restriction of XML External Entity Reference in Repox
CVE-2023-6836	Multiple WSO2 products have been identified as vulnerable due to an XML External Entity (XXE) attack abuses a widely availabl...
CVE-2023-7307	Sangfor Behavior Management System XML External Entity Injection
CVE-2024-10839	XML External Entity
CVE-2024-1167	SEW-EURODRIVE MOVITOOLS MotionStudio Improper Restriction of XML External Entity Reference
CVE-2024-12298	Vulnerability Report on Improper Restriction of XML External Entity Reference in NB-Designer
CVE-2024-12476	CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause information disclosure,...
CVE-2024-20531	Cisco Identity Services Engine XML External Entity Injection Vulnerability
CVE-2024-22354	IBM WebSphere Application Server XML external entity injection
CVE-2024-24743	XXE vulnerability in SAP NetWeaver AS Java (Guided Procedures)
CVE-2024-25066	RSA Authentication Manager before 8.7 SP2 Patch 1 allows XML External Entity (XXE) attacks via a license file, resulting in a...
CVE-2024-25129	Limited data exfiltration in CodeQL CLI
CVE-2024-25606	XXE vulnerability in Liferay Portal 7.2.0 through 7.4.3.7, and older unsupported versions, and Liferay DXP 7.4 before update...
CVE-2024-25971	Dell PowerProtect Data Manager, version 19.15, contains an XML External Entity Injection vulnerability. A remote high privile...
CVE-2024-27266	IBM Maximo Application Suite XML external entity injection
CVE-2024-28168	Apache XML Graphics FOP: XML External Entity (XXE) Processing
CVE-2024-28198	XML external entity (XXE) injection in OpenOLAT
CVE-2024-2826	lakernote EasyAdmin saveReportFile xml external entity reference
CVE-2024-29010	The XML document processed in the GMS ECM URL endpoint is vulnerable to XML external entity (XXE) injection, potentially resu...
CVE-2024-30043	Microsoft SharePoint Server Information Disclosure Vulnerability
CVE-2024-34102	XXE can expose crypt key and other secrets granting full admin access
CVE-2024-34345	@cyclonedx/cyclonedx-library Improper Restriction of XML External Entity Reference vulnerability
CVE-2024-34711	GeoServer has improper ENTITY_RESOLUTION_ALLOWLIST URI validation in XML Processing (SSRF)
CVE-2024-3486	XML External Entity injection vulnerability in iManager
CVE-2024-38374	Improper Restriction of XML External Entity Reference in org.cyclonedx:cyclonedx-core-java
CVE-2024-3930	XML External Entity in Akana
CVE-2024-39586	Dell AppSync Server, version 4.3 through 4.6, contains an XML External Entity Injection vulnerability. An adjacent high privi...
CVE-2024-3969	XML External Entity injection vulnerability in iManager
CVE-2024-39726	IBM Engineering Insights XML external entity injection
CVE-2024-40896	In libxml2 2.11 before 2.11.9, 2.12 before 2.12.9, and 2.13 before 2.13.3, the SAX parser can produce events for external ent...
CVE-2024-4184	Multiple XXE sinks in ALM archive post-build step in OpenText Application Automation Tools
CVE-2024-4189	Multiple XXE sinks in Run LoadRunner script step in OpenText Application Automation Tools
CVE-2024-42185	HCL BigFix Patch Download Plug-ins are affected by an insecure package which is susceptible to XML injection attacks
CVE-2024-4357	XML External Entity Processing Information Disclosure
CVE-2024-45048	XML External Entity Reference (XXE) in PHPSpreadsheet
CVE-2024-45072	IBM WebSphere Application Server XML external entity injection
CVE-2024-45086	IBM WebSphere Application Server XML external entity injection
CVE-2024-45293	XML External Entity Reference (XXE) in PHPSpreadsheet's XLSX reader
CVE-2024-45294	`org.hl7.fhir.core` XXE vulnerability in XSLT transforms
CVE-2024-45745	TopQuadrant TopBraid EDG JavaScript console XXE
CVE-2024-4690	Insecure usage for DocumentBuilderFactory and TransformerFactory in OpenText Application Automation Tools
CVE-2024-46984	XML External Entity Reference (XXE) vulnerability can lead to a Server Side Request Forgery attack in gematik app-referenceva...
CVE-2024-46985	DataEase has an XXE vulnerability
CVE-2024-47582	XML Entity Expansion Vulnerability in SAP NetWeaver AS JAVA
CVE-2024-47873	PhpSpreadsheet XmlScanner bypass leads to XXE
CVE-2024-48917	XXE in PHPSpreadsheet's XLSX reader
CVE-2024-49064	Microsoft SharePoint Information Disclosure Vulnerability
CVE-2024-49352	IBM Cognos Anaytics XML external entity injection
CVE-2024-49535	Acrobat Reader \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2024-49704	A vulnerability has been identified in COMOS V10.3 (All versions < V10.3.3.5.8), COMOS V10.4.0 (All versions), COMOS V10.4.1...
CVE-2024-49781	IBM OpenPages XML external entity injection
CVE-2024-50442	WordPress Royal Elementor Addons and Templates plugin <= 1.3.980 - XML External Entity (XXE) vulnerability
CVE-2024-51445	A vulnerability has been identified in Polarion V2310 (All versions), Polarion V2404 (All versions < V2404.4). The affected a...
CVE-2024-52007	XXE vulnerability in XSLT parsing in `org.hl7.fhir.core`
CVE-2024-52596	SimpleSAMLphp xml-common XXE vulnerability
CVE-2024-52800	Potential XXE (XML External Entity Injection) vulnerability in veraPDF CLI
CVE-2024-52806	SimpleSAMLphp SAML2 has an XXE in parsing SAML messages
CVE-2024-52807	XXE vulnerability in XSLT parsing in `org.hl7.fhir.publisher`
CVE-2024-54005	A vulnerability has been identified in COMOS V10.3 (All versions < V10.3.3.5.8), COMOS V10.4.0 (All versions), COMOS V10.4.1...
CVE-2024-54171	IBM EntireX XML external entity injection
CVE-2024-55875	http4k has a potential XXE (XML External Entity Injection) vulnerability
CVE-2024-55887	Ucum-java has an XXE vulnerability in XML parsing
CVE-2024-5625	XML External Entity Injection in PruvaSoft Informatics' Apinizer Management Console
CVE-2024-56322	GoCD vulnerable to XXE injection via abuse of unused XML configuration repository functionality
CVE-2024-56324	GoCD vulnerable to XXE injection via abuse of pipeline XML "snippet" editing by group admins
CVE-2024-5919	PAN-OS: Authenticated XML External Entities (XXE) Injection Vulnerability
CVE-2024-6893	Journyx Unauthenticated XML External Entities Injection
CVE-2024-6961	XXE in Guardrails AI when consuming RAIL documents
CVE-2024-7098	XML Injection in SFS Consulting's ww.Winsure
CVE-2024-8602	XML Eternal Entity Attack in the Software Library taxstatement.jar
CVE-2024-9044	XML External Entity (XXE) Vulnerability in EasyTax
CVE-2025-0162	IBM Aspera Shares XML external entity injection
CVE-2025-10091	Jinher OA XML Type xml external entity reference
CVE-2025-10092	Jinher OA XML Type xml external entity reference
CVE-2025-10183	XML External Entity Injection in TecConnect 4.1
CVE-2025-10713	XML External Entity (XXE) Vulnerability in Multiple WSO2 Products Due to Improper XML Parser Configuration
CVE-2025-10816	Jinher OA XML text xml external entity reference
CVE-2025-11035	Jinher OA text xml external entity reference
CVE-2025-11140	Bjskzy Zhiyou ERP com.artery.richclient.RichClientService openForm xml external entity reference
CVE-2025-11341	Jinher OA type xml external entity reference
CVE-2025-11700	N-central importServiceFromFile XXE Injection
CVE-2025-1225	ywoa WXCallBack Interface XMLParse.java extract xml external entity reference
CVE-2025-12531	IBM InfoSphere Information Server is affected by an XML external entity injection (XXE) vulnerability
CVE-2025-13209	bestfeng oa_git_free WorkflowPredefineController.java updateWriteBack xml external entity reference
CVE-2025-1781	There is a XXE in W3CSS Validator versions before cssval-20250226 that allows an attacker to use specially-crafted XML object...
CVE-2025-2070	An improper XML parsing vulnerability was reported in the FileZ client that could allow arbitrary file reads on the system if...
CVE-2025-22478	Dell Storage Center - Dell Storage Manager, version(s) 20.1.20, contain(s) an Improper Restriction of XML External Entity Ref...
CVE-2025-23195	Apache Ambari: XML External Entity (XXE) Vulnerability in Ambari/Oozie
CVE-2025-2365	crmeb_java WeChatMessageController.java webHook xml external entity reference
CVE-2025-24521	Keysight Ixia Vision Product Family Improper Restriction of XML External Entity Reference
CVE-2025-24910	Hitachi Vantara Pentaho Business Analytics Server - Improper Restriction of XML External Entity Reference
CVE-2025-24911	Hitachi Vantara Pentaho Business Analytics Server - Improper Restriction of XML External Entity Reference
CVE-2025-25036	Jalios JPlatform 10 Authenticated XML External Entity Injection (XXE)
CVE-2025-26400	SolarWinds Web Help Desk XML External Entity Injection (XXE) Vulnerability
CVE-2025-26484	Dell CloudLink, versions 8.0 through 8.1.1, contains an Improper Restriction of XML External Entity Reference vulnerability....
CVE-2025-27136	LocalS3 CreateBucketConfiguration Endpoint XML External Entity (XXE) Injection
CVE-2025-27523	XXE vulnerability in JP1/IT Desktop Management 2 - Smart Device Manager
CVE-2025-2775	SysAid On-Prem <= 23.3.40 Checkin Proceessing XML External Entity Injection
CVE-2025-2776	SysAid On-Prem <= 23.3.40 serverurl Proceessing XML External Entity Injection
CVE-2025-2777	SysAid On-Prem <= 23.3.40 lshw Proceessing XML External Entity Injection
CVE-2025-2905	An XML External Entity (XXE) vulnerability in Multiple WSO2 Products
CVE-2025-30018	Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit)
CVE-2025-30220	GeoTools, GeoServer, and GeoNetwork XML External Entity (XXE) Processing Vulnerability in XSD schema handling
CVE-2025-31039	WordPress Category Icon plugin <= 1.0.2 - XML External Entity (XXE) vulnerability
CVE-2025-31487	The XWiki JIRA extension allows data leak through an XXE attack by using a fake JIRA server
CVE-2025-31497	TEIGarage XML External Entity (XXE) Injection in Document Conversion Service
CVE-2025-32138	WordPress Easy Google Maps plugin <= 1.11.17 - XML External Entity vulnerability
CVE-2025-32406	An XXE issue in the Director NBR component in NAKIVO Backup & Replication 10.3.x through 11.0.1 before 11.0.2 allows remote a...
CVE-2025-3241	zhangyanbo2007 youkefu XML Document CallCenterRouterController.java xml external entity reference
CVE-2025-33121	IBM QRadar SIEM XML external entity injection
CVE-2025-34142	ETQ Reliance CG < SE.2025.1 / < 2025.1.2 XXE Injection in SSO SAML Handler
CVE-2025-34490	GFI MailEssentials < 21.8 XXE Arbitrary File Read
CVE-2025-35112	Agiloft XML external entity local path traversal
CVE-2025-36049	IBM webMethods Integration Sever XML external entity injection
CVE-2025-36603	Dell AppSync, version(s) 4.6.0.0, contains an Improper Restriction of XML External Entity Reference vulnerability. A low priv...
CVE-2025-36608	Dell SmartFabric OS10 Software, versions prior to 10.6.0.5, contains an Improper Restriction of XML External Entity Reference...
CVE-2025-4044	XML External Entity Injection vulnerability in various Lexmark Universal Drivers
CVE-2025-40584	A vulnerability has been identified in SIMOTION SCOUT TIA V5.4 (All versions), SIMOTION SCOUT TIA V5.5 (All versions), SIMOTI...
CVE-2025-4338	Lantronix Device Installer Improper Restriction of XML External Entity Reference
CVE-2025-4639	Improper Restriction of XML External Entity Reference in Peergos
CVE-2025-4641	XML External Entity (XXE) injection vulnerability in WebDriverManager
CVE-2025-46425	Dell Storage Center - Dell Storage Manager, version(s) 20.1.20, contain(s) an Improper Restriction of XML External Entity Ref...
CVE-2025-46726	Langroid Vulnerable to XXE Injection via XMLToolMessage
CVE-2025-47293	PowSyBl Core XML Reader allows XXE and SSRF
CVE-2025-47778	Sulu vulnerable to XXE in SVG File upload Inspector
CVE-2025-48006	Improper restriction of XML external entity reference issue exists in DataSpider Servista 4.4 and earlier. If a specially cra...
CVE-2025-48882	PHPOffice Math allows XXE when processing an XML file in the MathML format
CVE-2025-4949	XXE vulnerability in Eclipse JGit
CVE-2025-49493	Akamai CloudTest before 60 2025.06.02 (12988) allows file inclusion via XML External Entity (XXE) injection.
CVE-2025-49535	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-49539	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-49544	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-52888	Allure 2's xunit-xml-plugin Vulnerable to Improper XXE Restriction
CVE-2025-53621	DSpace vulnerable to XML External Entity (XXE) injection in import via Simple Archive Format (SAF) or import from external so...
CVE-2025-53689	Apache Jackrabbit: XXE vulnerability in jackrabbit-spi-commons
CVE-2025-54254	Adobe Experience Manager \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-54445	Improper Restriction of XML External Entity Reference vulnerability in Samsung Electronics MagicINFO 9 Server allows Server S...
CVE-2025-54988	Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA
CVE-2025-54992	OpenKilda XXE in SAML configuration
CVE-2025-57704	EIP Builder XML External Entity Processing Information Disclosure Vulnerability
CVE-2025-58360	GeoServer is vulnerable to an Unauthenticated XML External Entities (XXE) attack via WMS GetMap feature
CVE-2025-5877	Fengoffice Feng Office Document Upload ApplicationDataObject.class.php xml external entity reference
CVE-2025-61813	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-61821	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-61823	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-6438	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause manipulation of...
CVE-2025-64518	CycloneDX Core (Java): BOM validation is vulnerable to XML External Entity injection
CVE-2025-66370	Kivitendo before 3.9.2 allows XXE injection. By uploading an electronic invoice in the ZUGFeRD format, it is possible to read...
CVE-2025-66371	Peppol-py before 1.1.1 allows XXE attacks because of the Saxon configuration. When validating XML-based invoices, the XML par...
CVE-2025-66372	Mustang before 2.16.3 allows exfiltrating files via XXE attacks.
CVE-2025-66516	Apache Tika core, Apache Tika parsers, Apache Tika PDF parser module: Update to CVE-2025-54988 to expand scope of artifacts a...
CVE-2025-68280	Apache SIS: XML External Entity (XXE) vulnerability
CVE-2025-68463	Bio.Entrez in Biopython through 186 allows doctype XXE.
CVE-2025-6985	XXE Vulnerability in langchain-ai/langchain
CVE-2025-7523	Jinher OA DelTemp.aspx xml external entity reference
CVE-2025-7766	Lantronix Provisioning Manager Improper Restriction of XML External Entity Reference
CVE-2025-7823	Jinher OA ProjectScheduleDelete.aspx xml external entity reference
CVE-2025-7824	Jinher OA XmlHttp.aspx xml external entity reference
CVE-2025-8355	XXE leading to SSRF
CVE-2026-1218	Bjskzy Zhiyou ERP com.artery.richclient.RichClientService RichClientService.class initRCForm xml external entity reference
CVE-2026-1227	CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause unauthorized disclosure...
CVE-2026-20029	Cisco Identity Services Engine XML External Entity Processing Information Disclosure Vulnerability
CVE-2026-2074	O2OA HTTP POST Request check xml external entity reference
CVE-2026-22186	Bio-Formats <= 8.3.0 XXE in Leica XLEF Metadata Parser
CVE-2026-23739	Asterisk xml.c uses unsafe XML_PARSE_NOENT leading to potential XXE Injection
CVE-2026-23795	Apache Syncope: Console XXE on Keymaster parameters
CVE-2026-24400	AssertJ has XML External Entity (XXE) vulnerability when parsing untrusted XML via isXmlEqualTo assertion
CVE-2026-2536	opencc JFlow Workflow WF_Admin_AttrFlow.java Imp_Done xml external entity reference

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20231006-25	06.10.2023	Чтение локальных файлов в D-Link D-View
VULN:20231208-20	08.12.2023	Чтение локальных файлов в Dell EMC Enterprise SONiC
VULN:20240124-13	24.01.2024	Получение конфиденциальной информации в Oracle Business Intelligence Enterprise Edition
VULN:20240124-15	24.01.2024	Получение конфиденциальной информации в Oracle Business Intelligence Enterprise Edition
VULN:20240124-53	24.01.2024	Получение конфиденциальной информации в Crestron AM-300
VULN:20240209-3	09.02.2024	Чтение локальных файлов в Pulse Connect Secure and Pulse Policy Secure
VULN:20240708-20	08.07.2024	Получение конфиденциальной информации в InfoSphere Master Data Management
VULN:20240715-51	15.07.2024	Межсайтовый скриптинг в Adobe Commerce (formerly Magento Commerce)
VULN:20240828-1	28.08.2024	Получение конфиденциальной информации в Ivanti Avalanche
VULN:20240916-28	16.09.2024	Получение конфиденциальной информации в Ivanti Endpoint Manager
VULN:20240916-63	16.09.2024	Получение конфиденциальной информации в Libxml2
VULN:20240930-31	30.09.2024	Получение конфиденциальной информации в DataEase
VULN:20241007-40	07.10.2024	Получение конфиденциальной информации в HL7 fhir-ig-publisher
VULN:20241202-130	02.12.2024	Получение конфиденциальной информации в Jenkins IvyTrigger plugin
VULN:20241213-112	13.12.2024	Получение конфиденциальной информации в HL7 FHIR
VULN:20241213-113	13.12.2024	Получение конфиденциальной информации в HL7 FHIR
VULN:20241213-74	13.12.2024	Выполнение произвольного кода в Adobe Acrobat and Reader
VULN:20241213-81	13.12.2024	Получение конфиденциальной информации в SimpleSAMLphp
VULN:20250409-5	09.04.2025	Получение конфиденциальной информации в Dell VxRail Appliance
VULN:20250425-15	25.04.2025	Подделка запросов на стороне сервера в MySQL Workbench
VULN:20250425-34	25.04.2025	Получение конфиденциальной информации в Oracle Communications Policy Management
VULN:20250425-45	25.04.2025	Получение конфиденциальной информации в Oracle HTTP Server
VULN:20250425-50	25.04.2025	Перезапись произвольных файлов в Oracle Managed File Transfer
VULN:20250716-76	16.07.2025	Получение конфиденциальной информации в Adobe ColdFusion
VULN:20250821-64	21.08.2025	Чтение локальных файлов в Adobe Experience Manager (AEM) Forms on JEE
VULN:20250922-5	22.09.2025	Получение конфиденциальной информации в FUJIFILM Xerox Freeflow Core
VULN:20251215-5	15.12.2025	Получение конфиденциальной информации в Adobe ColdFusion
VULN:20260302-1	02.03.2026	Отказ в обслуживании в GeoServer

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.