Каталог уязвимостей - CWE - CWE-611

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-611

CWE-611 Improper Restriction of XML External Entity Reference

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2014-00394	Уязвимость автоматизированной системы управления технологическими процессами KingSCADA, позволяющая удаленному злоумышленнику выполнить отказ в обслуживании, при условии открытия пользователем специально сформированного XML-документа
BDU:2015-11393	Уязвимость программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю вызвать отказ в обслуживании или спровоцировать обращение к внешнему ресурсу
BDU:2016-00342	Уязвимость операционных систем Mac OS X и iOS, позволяющая нарушителю читать произвольные файлы
BDU:2016-00556	Уязвимость платформы для разработки мобильных приложений SAP Mobile Platform, позволяющая нарушителю читать произвольные файлы
BDU:2016-00667	Уязвимость пользовательского интерфейса сервера приложений IBM WebShpere Portal, позволяющая нарушителю вызвать отказ в обслуживании или читать произвольные файлы
BDU:2016-01032	Уязвимость программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2016-01475	Уязвимость интерпретатора PHP, позволяющая нарушителю провести XXE- и XXL-атаки
BDU:2016-02079	Уязвимость интерпретатора ColdFusion, позволяющая нарушителю читать произвольные файлы или отправлять TCP запросы к серверам внутренней сети
BDU:2017-00690	Уязвимость программного обеспечения для веб-конференцсвязи Cisco WebEx Meetings Server, позволяющая нарушителю получить доступ на чтение части информации, хранящейся в системе
BDU:2017-02100	Уязвимость парсера XML программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю прочитать произвольный файл или вызвать отказ в обслуживании
BDU:2017-02205	Уязвимость программного обеспечения для управления гипервизором Vmware vSphere Client, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2017-02206	Уязвимость браузера журнала событий, настроек распределенных коммутаторов и библиотеки содержимого сервера средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2017-02207	Уязвимость реализации единого входа (Single Sign-On) средств управления виртуальной инфраструктурой VMware vCenter Server и VMware vRealize Automation, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать от...
BDU:2017-02208	Уязвимость веб-системы контроля критически важного оборудования Liebert SiteScan, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2017-02237	Уязвимость интерфейса внутреннего и внешнего шлюзов GlobalProtect операционной системы PAN-OS, позволяющая нарушителю вызвать отказ в обслуживании или получить конфиденциальную информацию
BDU:2017-02261	Уязвимость средства администрирования системы электронного документооборота OpenText Documentum Administrator, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы или вызвать отказ в обслу...
BDU:2017-02262	Уязвимость веб-интерфейса, обеспечивающего доступ к репозиторию OpenText Documentum Webtop, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы или вызвать отказ в обслуживании
BDU:2017-02355	Уязвимость системы автоматизации деятельности предприятия Document Sciences xPression, вызванная неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к системным файлам, провести SSRF-атаку или вызвать отказ в о...
BDU:2017-02578	Уязвимость программной платформы Apache ActiveMQ, связанная с некорректным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию, вызвать отказ в обслуживании или оказать другое воздействие
BDU:2018-00112	Уязвимость функции entityValueInitProcessor библиотеки для анализа XML-файлов libexpat, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2018-00149	Уязвимость библиотеки Apache XML-RPC (ws-xmlrpc), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнять атаки SSRF
BDU:2018-00252	Уязвимость компонента FloorPlanApp программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00253	Уязвимость компонента проверки скрытого контента GPL программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00254	Уязвимость компонента TranslationSupport программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00255	Уязвимость компонента проверки скрытого контента GPL программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00256	Уязвимость компонента YWorksLayouter программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
BDU:2018-00371	Уязвимость универсальной системы мониторинга Zabbix, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы
BDU:2018-01146	Уязвимость веб-сервиса BEx Web Java Runtime Export программной интеграционной платформы SAP Business Intelligence, позволяющая нарушителю получить доступ к файловой системе или вызвать отказ в обслуживании
BDU:2018-01195	Уязвимость анализатора XML средств разработки PI Studio, вызванная неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2018-01269	Уязвимость анализатора XML-файлов библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2018-01272	Уязвимость функции xmlStringLenDecodeEntities (parser.c) библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию
BDU:2018-01326	Уязвимость средства управления базами данных Microsoft SQL Server Management Studio, связанная с недостаточным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2018-01461	Уязвимость веб-интерфейса средства управления использования электроэнергии Cisco Energy Management Suite, связаная с неверным ограничением XML-ссылок на внешние объекты (XXE), позволяющая нарушителю раскрыть или модифицировать защищаемую информацию
BDU:2018-01588	Уязвимость компонента Castor XML программного обеспечения для веб-конференцсвязи Cisco WebEx Meetings Server, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2018-01614	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или использовать ресурсы памяти
BDU:2019-00074	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с ошибками ограничений XML-ссылок на внешние объекты (XXE), позволяющая раскрыть защищаемую информацию
BDU:2019-00077	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с ошибками ограничения XML-ссылок на внешние объекты (XXE), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2019-00139	Уязвимость платформы мониторинга IIoT Monitor, связанная с некорректным контролем внешних XML-ссылок, позволяющая нарушителю внедрять некорректные документы в выходные данные
BDU:2019-00235	Уязвимость компонента xmlParsePEReference библиотеки для работы с XML и HTML файлами libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2019-00302	Уязвимость платформы автоматизации бизнес-процессов SAP Business Process Automation, связанная с ошибками ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить атаку с внедрением внешних сущностей XML
BDU:2019-00308	Уязвимость протокола S3 браузера S3 Browser, позволяющая нарушителю просматривать файлы и получать хеш-значения NTLMv2 пользователя
BDU:2019-00824	Уязвимость веб-интерфейса микропрограммного обеспечения сетевых устройств хранения данных Seagate GoFlex Home, Medion LifeCloud NAS и Netgear Stora, позволяющая нарушителю повысить свои привилегии
BDU:2019-01088	Уязвимость службы Microsoft XML Core Services операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01365	Уязвимость инструмента разработки приложений SAP HANA Extended Application Services, связанная с ошибками обработки XML-документов, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2019-01421	Уязвимость XML-анализатора браузера Internet Explorer, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2019-01483	Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01484	Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01485	Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-01492	Уязвимость синтаксического анализатора набора служб Microsoft XML Core Services операционных систем Windows, позволяющая нарушителю выполнять произвольный код
BDU:2019-01494	Уязвимость синтаксического анализатора набора служб Microsoft XML Core Services операционных систем Windows, позволяющая нарушителю выполнять произвольный код
BDU:2019-01670	Уязвимость программной платформы для интеграции корпоративных приложений Spring Integration, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность...
BDU:2019-01736	Уязвимость программной интеграционной платформы SAP NetWeaver, связанная с ошибками обработки внешних объектов XML при анализе XML файла, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-01744	Уязвимость компонента ABAP Server программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-01756	Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку
BDU:2019-01770	Уязвимость анализатора XML среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-02408	Уязвимость программного средства для создания отчетов для развернутых средств безопасности Cisco Security Manager, связанная с ошибками ограничения XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации и...
BDU:2019-02524	Уязвимость плагина Jenkins Token Macro, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю подделать запросы на стороне сервера или вызвать отказ в обслуживании
BDU:2019-02648	Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю прочитать произвольные файлы
BDU:2019-03012	Уязвимость библиотеки XmlLite.dll операционной системы Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03021	Уязвимость синтаксического анализа Microsoft XML (MSXML) операционной системы Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-03327	Уязвимость функции libexpat библиотеки языка C для выполнения грамматического разбора XML Expat, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03643	Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03841	Уязвимость синтаксического анализатора набора служб Microsoft XML Core Services операционных систем Windows, позволяющая нарушителю выполнить произвольный код
BDU:2019-04026	Уязвимость реализации класса RunExecutableListener поискового сервера Apache Solr и библиотеки для полнотекстового поиска Apache Lucene, позволяющая нарушителю выполнить произвольный код
BDU:2019-04132	Уязвимость веб-интерфейса управления систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ...
BDU:2019-04411	Уязвимость библиотеки JSON-lib и компонента camel-xmljson java-фреймворка Apache Camel, позволяющая нарушителю осуществить XXE-атаку
BDU:2019-04852	Уязвимость компонента XMLFileLookupService платформы обработки данных Apache NiFi, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2019-04862	Уязвимость класса XMLInputFactory контейнера OSGi Apache Karaf, позволяющая нарушителю выполнить произвольный код
BDU:2020-00068	Уязвимость программных средств для управления ресурсами Lenovo XClarity Administrator и Lenovo XClarity Integrator, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2020-00410	Уязвимость интерфейса SOAP API системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2020-00970	Уязвимость набора инструментов XSSFExportToXml Java-библиотеки для чтения и записи документов MS Office Apache POI, позволяющая нарушителю получить несанкционированный доступ на чтение файлов
BDU:2020-02137	Уязвимость функции initDocumentParser библиотеки планирования заданий Terracotta Quartz Scheduler, позволяющая нарушителю осуществить XXE-атаку
BDU:2020-02254	Уязвимость компонента org.codehaus.jackson библиотеки jackson-mapper-asl, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2020-02514	Уязвимость веб-интерфейса программного средства Cisco Hosted Collaboration Mediation Fulfillment, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2020-02524	Уязвимость веб-интерфейса программного обеспечения администрирования сети Cisco Firepower Management Center, позволяющая нарушителю перенаправить пользователя на вредоносную веб-страницу
BDU:2020-02867	Уязвимость компонента /rpc/api программного средства для управления системами Red Hat Spacewalk, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании или выполнить произвольный код
BDU:2020-03298	Уязвимость операционной системы PAN-OS, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю повысить свои привилегии
BDU:2020-03419	Уязвимость веб-интерфейса управления vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-03805	Уязвимость службы управления операционной системы PAN-OS централизованной системы управления межсетевыми экранами Palo Alto Networks Panorama, позволяющая нарушителю читать произвольные файлы
BDU:2020-03956	Уязвимость реализации конфигурации expand_external_ents Perl-модуля для обработки XML-документов в древовидном режиме XML::Twig, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
BDU:2020-04038	Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-05203	Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и получить доступ на изменение, добавление или удаление данных
BDU:2020-05204	Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и получить доступ на изменение, добавление или удаление данных
BDU:2020-05519	Уязвимость систем автоматизированного проектирования Intel Quartus Prime Pro и Intel Quartus Prime Standard, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфо...
BDU:2020-05675	Уязвимость подключаемого модуля сервера автоматизации Jenkins RapidDeploy Plugin, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку
BDU:2021-00674	Уязвимость приложения для проигрывания мультимедиаконтента Windows Media Center, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-00727	Уязвимость веб-сервисов программной платформы Spring Framework, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность информации
BDU:2021-00923	Уязвимость компонентов GanttProjectReader и PhoenixReader библиотеки MPXJ, позволяющая нарушителю провести XXE-атаки
BDU:2021-01008	Уязвимость программной библиотеки Nokogiri, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю провести SSRF-атаку или XXE-атаку
BDU:2021-01050	Уязвимость библиотеки журналирования на платформу .NET Framework log4net, связанная с ошибками ограничения XML-ссылок на внешние объекты (XXE), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой инф...
BDU:2021-01757	Уязвимость реализации WebDAV веб-сервере Yaws, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2021-01792	Уязвимость сервера отчетов WebReports, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2021-02373	Уязвимость интерфейса REST API программного обеспечения для управления межсетевыми экранами Cisco Firepower Device Manager On-Box, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-02409	Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02442	Уязвимость синтаксического анализатора XML Java-библиотеки Apache PDFBox, позволяющая нарушителю проводить XXE-атаки
BDU:2021-02560	Уязвимость веб-интерфейса управления сервера BroadWorks Messaging Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02618	Уязвимость компонента Diagnostic Assistant программного обеспечения Oracle OSS Support Tools, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02624	Уязвимость криптобиблиотеки xmlsec, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации
BDU:2021-02955	Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02959	Уязвимость системы управления базами данных Apache Derby, связанная с ошибками управления ресурсом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02967	Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации
BDU:2021-03570	Уязвимость программного обеспечения для удаленного мониторинга и управления ИТ-активами ConnectWise Automate, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код или получить несанкционир...
BDU:2021-03587	Уязвимость функции файла admin/user_import.php программного обеспечения для электронного обучения и управления контентом Chamilo, связанная с раскрытием защищаемой информации, позволяющая нарушителю осуществить XXE-атаку
BDU:2021-04391	Уязвимость компонента mailboxd (Autodiscover/Autodiscover.xml) корпоративной системы управления электронной почтой Zimbra Collaboration Suite, позволяющая нарушителю осуществить XXE-атаку
BDU:2021-04476	Уязвимость микропрограммного обеспечения системы базовой сети Huawei eCNS280, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании модуля
BDU:2021-04578	Уязвимость библиотеки Media системы управления содержимым сайта WordPress, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-04799	Уязвимость платформы семантической сети Apache Jena, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-05107	Уязвимость программного обеспечения системы биоидентификации "АССаД-ID", связанная с неверным ограничением XML-ссылок на внешний объект, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-05513	Уязвимость сервера корпоративного магазина приложений Citrix StoreFront, позволяющая нарушителю проводить XXE-атаки
BDU:2021-05600	Уязвимость компонента BC-BMT-BPM-DSK сервера веб-приложений SAP NetWeaver Java Application Server, позволяющая нарушителю проводить XXE-атаки
BDU:2021-05670	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2021-05733	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2021-05889	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2021-05923	Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-06367	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код
BDU:2022-00302	Уязвимость интерпретатора языка программирования Ruby, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2022-01017	Уязвимость программного обеспечения для настройки и диагностики процессов ToolboxST, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-01899	Уязвимость реализации объекта extractor.rdfa.XSLTStylesheet класса XSLTStylesheet библиотеки Apache Any23, позволяющая нарушителю проводить XXE-атаки
BDU:2022-02057	Уязвимость модуля Perl XML::Atom , связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2022-02106	Уязвимость компонента BI Publisher Security программного средства для создания отчетов Oracle BI Publisher, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-02263	Уязвимость инструмента мониторинга Glances, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2022-02991	Уязвимость функции импорта программного обеспечения инфраструктуры Cisco Enterprise NFV Infrastructure Software (NFVIS), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-03026	Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или ис...
BDU:2022-03027	Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или ис...
BDU:2022-03411	Уязвимость микропрограммного обеспечения шлюза Cisco Expressway и микропрограммного обеспечения устройства управления вызовами Cisco TelePresence Video Communication Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая...
BDU:2022-03872	Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю проводить XXE-атаки
BDU:2022-03879	Уязвимость системы управления жизненным циклом продукции Teamcenter, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2022-04166	Уязвимость компонента cewolf программного средства управления и отчетности Windows Active Directory (AD) Zoho ManageEngine ADAudit Plus, позволяющая нарушителю проводить XXE-атаки
BDU:2022-04506	Уязвимость плагина SAML платформы управления средами выполнения виртуальных машин Apache CloudStack, позволяющая нарушителю проводить XXE-атаки
BDU:2022-04918	Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с ошибками ограничений XML-ссылок на внешние объекты (XXE), позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-04976	Уязвимость программного обеспечения проектирования и настройки контроллеров Connected Components Workbench (CCW), рабочей станции автоматизированных систем безопасности Safety Instrumented Systems Workstation (SISW) и среды разработки приложений для...
BDU:2022-05089	Уязвимость пакета pki-core операционной системы Red Hat Enterprise Linux , позволяющая нарушителю проводить XXE-атаки
BDU:2022-05139	Уязвимость набора утилит VMware Tools для операционных систем Windows, позволяющая нарушителю позволяющая нарушителю проводить XXE-атаки
BDU:2022-05207	Уязвимость SCADA-системы AVEVA Edge, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к конфиденциальным данным
BDU:2022-05563	Уязвимость реализации модуля WebSocket сервера для Jabber/XMPP Prosody, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-05602	Уязвимость компонента DOMDeserializer библиотеки FasterXML jackson-databind, позволяющая нарушителю проводить XXE-атаки
BDU:2022-07020	Уязвимость платформы виртуализации VMware Cloud Foundation, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию
BDU:2022-07189	Уязвимость фреймворка управления динамическими данными Apache Calcite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2023-00172	Уязвимость функции импорта модуля административного интерфейса программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-00220	Уязвимость библиотеки Libxml2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2023-00253	Уязвимость программного средства IBM Sterling Partner Engagement Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-00617	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или осуществить SSRF-атаку
BDU:2023-00682	Уязвимость специализированной среды разработки программного обеспечения SCADAPack Workbench, позволяющая нарушителю выполнить передачу данных из локальных файлов в удаленную систему
BDU:2023-00857	Уязвимость платформы для автоматизации рабочих процессов VMware vRealize Orchestrator, средства управления виртуальной инфраструктурой VMware vRealize Automation, платформы виртуализации VMware Cloud Foundation, связанная с неверным ограничением XML-...
BDU:2023-01220	Уязвимость программной платформы ColdFusion, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
BDU:2023-01230	Уязвимость программной платформы ColdFusion, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-01306	Уязвимость системы управления сетью NetAct, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или осуществить SSRF-атаку
BDU:2023-01307	Уязвимость системы управления сетью NetAct, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или осуществить SSRF-атаку
BDU:2023-01995	Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2023-02670	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-02671	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-02896	Уязвимость функции RequestInfoByXml реализации программного интерфейса API платформы для совместной работы и автоматизации делопроизводства Weaver e-cology, позволяющая нарушителю получить доступ на чтение, изменение, или удаление данных
BDU:2023-02943	Уязвимость сервера приложений WebSphere Application Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2023-02964	Уязвимость сервера данных OPC Factory Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к чтению файловой системы
BDU:2023-03117	Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2023-03411	Уязвимость функции "Add UCS Device" программного обеспечения для мониторинга сети OpManager, OpManager MSP, OpManager Plus, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05939	Уязвимость программного средства для управления устройствами в Интернете вещей (IoT) Eclipse Leshan, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку
BDU:2023-06251	Уязвимость программного средства управления промышленными процессами EcoStruxure OPC UA Server Expert, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2023-06583	Уязвимость программной платформы Microsoft .NET Framework, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2023-06655	Уязвимость модуля plistlib интерпретатора языка программирования Python, позволяющая нарушителю проводить XXE-атаки
BDU:2023-06656	Уязвимость интерпретатора языка программирования PHP, связанная с неверным ограничением XML-ссылок на внешний объект, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к конфиденциальным данным
BDU:2023-06807	Уязвимость функции addDv7Probe платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-06848	Уязвимость программной платформы для промышленной автоматизации VBASE Automation Base, связанная с неверным ограничением XML-ссылок на внешний объект, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к конфи...
BDU:2023-07923	Уязвимость программного средства обработки и управления финансовыми транзакциями, осуществляемыми через международную систему передачи сообщений SWIFT, IBM Financial Transaction Manager for SWIFT Services, связанная с неверным ограничением XML-ссылок...
BDU:2023-08021	Уязвимость редактора моделирования Siemens OPC UA Modeling Editor (SiOME), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08029	Уязвимость программного средства хранения и управления данными IBM Security Directory Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать влияние на конфиденциальность и доступность защищаемой инфор...
BDU:2023-08080	Уязвимость системы управления контентом OpenCMS, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код путём отправки специально сформированного POST-запроса
BDU:2023-08103	Уязвимость серверного корпоративного программного обеспечения мониторинга и управления проектами баз знаний Adobe RoboHelp Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный до...
BDU:2023-09069	Уязвимость библиотеки разбора XML Expat, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2023-09138	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09139	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09140	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09141	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2023-09142	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Saia PG5 Controls Suite, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защ...
BDU:2024-00154	Уязвимость метода doDocument программного обеспечения для управления источниками бесперебойного питания Voltronic Power ViewPower, позволяющая нарушителю проводить XXE-атаки
BDU:2024-00233	Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-00359	Уязвимость метода декодирования системы управления мобильными устройствами Avalanche, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2024-01178	Уязвимость плагина Qualys Policy Compliance Connector Plugin, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-01287	Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA), связанная с неверным ограниче...
BDU:2024-01431	Уязвимости программного средства защиты доступа к приложениям в среде Docker IBM Security Verify Access Docker, системы управления доступом IBM Security Verify Access, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая наруш...
BDU:2024-01575	Уязвимость библиотеки обработки XLSX-файлов Spreadsheet::ParseXLSX для языка программирования Perl, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-01622	Уязвимость библиотеки codehaus-plexus фреймворка Apache Maven, связана с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код
BDU:2024-01976	Уязвимость библиотеки синтаксического анализатора XML libexpat, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02252	Уязвимость пакетного менеджера Apache Ivy, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2024-02259	Уязвимость пакета com.h2database:h2 системы управления базами данных H2, позволяющая нарушителю проводить XXE-атаки
BDU:2024-02530	Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2024-02640	Уязвимость программного обеспечения централизованного управления резервным копированием и восстановлением данных Dell PowerProtect Data Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкци...
BDU:2024-03880	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Enterprise Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанк...
BDU:2024-03895	Уязвимость интерактивной браузерной среды для анализа и визуализации данных Apache Zeppelin SAP, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ обслуживании
BDU:2024-04655	Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и плагина Adobe Commerce Webhooks, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить про...
BDU:2024-05018	Уязвимость компонента Guided Procedures программного средства создания и развертывания веб-приложений SAP NetWeaver AS for Java, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации
BDU:2024-05024	Уязвимость компонента Oozie Workflow Scheduler программного средства Apache Ambari, позволяющая нарушителю проводить XXE-атаки
BDU:2024-06003	Уязвимость веб-интерфейса программного средства управления требованиями в процессе разработки программного обеспечения IBM Engineering Requirements Management DOORS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и...
BDU:2024-07004	Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неправильным ограничением ссылки на внешнюю сущность XML, позволяющая нарушителю выполнить произвольный код
BDU:2024-07164	Уязвимость библиотеки libxml2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к произвольным файлам на сервере или выполнить сетевое сканирование внутренней и внешней инфраструктуры
BDU:2024-07273	Уязвимость метода ImportXml программного средства управления конечными точками Ivanti EPM, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2024-09751	Уязвимость сервера приложений IBM WebSphere Application Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть конфиденциальную информации или использовать ресурсы памяти
BDU:2024-10277	Уязвимость компонента SmartDeviceServer системы управления мобильными устройствами Ivanti Avalanche, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-10609	Уязвимость программы управления контроллером движения OMRON CX-Motion Pro, связанная с некорректным ограничением ссылок на внешние сущности XML (XXE), позволяющая нарушителю получить доступ к защищаемой информации
BDU:2024-10613	Уязвимость функции mergeEnabledFeaturesFromPolicy() библиотеки проверки соответствия PDF-документов стандартам PDF/A veraPDF, позволяющая нарушителю проводить XXE-атаки
BDU:2024-10802	Уязвимость программного обеспечения для управления лицензиями программных продуктов HPE AutoPass License Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2024-11080	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Enterprise Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанк...
BDU:2024-11297	Уязвимость библиотеки Ucum языка программирования Java, позволяющая нарушителю проводить XXE-атаки
BDU:2024-11565	Уязвимость компонента XMLParser системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00085	Уязвимость программной платформы для мониторинга и управления IT-инфраструктурой Operations Bridge Manager (OBM), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к конфиденци...
BDU:2025-00190	Уязвимость серверов приложений IBM WebSphere Application Server Liberty и IBM WebSphere Application Server, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-00423	Уязвимость сервера системы непрерывной интеграции и доставки (CI/CD) GoCD, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00430	Уязвимость сервера системы непрерывной интеграции и доставки (CI/CD) GoCD, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00486	Уязвимость функционального набора инструментов для приложений Kotlin HTTP http4k, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-00557	Уязвимость программного обеспечения для создания проектов автоматизации Schneider Electric Web Designer сетевых модулей BMXNOE0110(H), BMENOC0311(C), BMENOC0321(C) и BMXNOR0200H, связанная с неверным ограничением XML-ссылок на внешние объекты, позвол...
BDU:2025-01565	Уязвимость модулей Generic Data Mapper, Engineering Adapter и Engineering Interface программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, позволяющая нарушителю осуществить XXE-атаку
BDU:2025-02079	Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-02210	Уязвимость реализации метода validateAgainstXSD программного средства для удаленного мониторинга, управления и поддержки серверов и систем хранения данных HPE Insight Remote Support, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-03887	Уязвимость класса SAXBuilder инструмента управления проектами и обмена информацией в системе JIRA JIRA Macro, позволяющая нарушителю проводить XXE-атаки
BDU:2025-04265	Уязвимость компонента XML parsers средства разработки программного обеспечения iText, позволяющая нарушителю проводить XXE-атаки
BDU:2025-04926	Уязвимость программных продуктов Proself Enterprise/Standard Edition, Proself Gateway Edition и Proself Mail Sanitize Edition, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-05327	Уязвимость программного обеспечения для интеграции старых и новых технологий IBM EntireX, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-06485	Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию или использовать ресурсы памяти
BDU:2025-06578	Уязвимость класса GetMdmMessage программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06603	Уязвимость класса GetMdmMessage программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06619	Уязвимость инструмента для преобразований XML-файлов Apache XML Graphics FOP, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06622	Уязвимость метода com.ilient.agentApi.LshwAgentdoPost программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06644	Уязвимость функции импорта docx программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management), позволяющая нарушителю читать произвольные файлы
BDU:2025-06763	Уязвимость модудей gt-xsd-core и gt-wfs-ng библиотеки GeoTools, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06813	Уязвимость веб-интерфейса платформ управления рисками на предприятии IBM OpenPages и IBM OpenPages with Watson, позволяющая нарушителю проводить XXE-атаки
BDU:2025-06844	Уязвимость программного обеспечения управления кластерами Dell Storage Manager, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-06852	Уязвимость программного обеспечения IBM Aspera Shares, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть конфиденциальную информацию
BDU:2025-08194	Уязвимость платформы для тестирования производительности Akamai CloudTest, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность
BDU:2025-08382	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю обойти ограничения безопасности
BDU:2025-08383	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю обойти ограничения безопасности
BDU:2025-08737	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или обойти существующие ограничения безопасности и вызват...
BDU:2025-08867	Уязвимость библиотеки генерации отчетов и документов FastReport .NET, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ на чтение файлов и осуществить SSRF-атаку
BDU:2025-09259	Уязвимость сетевой операционной системы SmartFabric OS10, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-09279	Уязвимость библиотеки PHPOffice Math, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации
BDU:2025-09480	Уязвимость корпоративной платформы для создания, управления и обработки электронных форм, документов и бизнес-процессов Adobe Experience Manager (AEM) Forms on JEE, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушите...
BDU:2025-09714	Уязвимость системы сбора и анализа событий IBM QRadar SIEM, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая получить несанкционированный доступ к защищаемой информации
BDU:2025-10402	Уязвимость класса PreventLocalEntityResolver программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-10404	Уязвимость веб-сервиса GeoServer Web Feature Service (WFS) программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-10465	Уязвимость программного обеспечения для хранения и защиты данных Dell EMC AppSync, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-10854	Уязвимость функции parseDocument кроссплатформенного инструмента для работы с базами данных DBeaver, позволяющая нарушителю проводить XXE-атаки
BDU:2025-10894	Уязвимость программное решение для обеспечения безопасности и управления доступом к облачным приложениям и данным Dell CloudLink, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-11250	Уязвимость методов addElement и addAttribute библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю проводить XXE-атаки
BDU:2025-11458	Уязвмость компонента Debbugging интегрированной среды разработки программного обеспечения GoLand, позволяющая нарушителю проводить XXE-атаки
BDU:2025-13192	Уязвимость конфигурации ContentNegotiation фреймворка для создания веб-приложений JetBrains Ktor, позволяющая нарушителю проводить XXE-атаки
BDU:2025-13431	Уязвимость платформы для интеллектуальной автоматизации рабочих процессов Xerox FreeFlow Core, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-13676	Уязвимость веб-интерфейса Splunk Web платформы для операционного анализа Splunk Enterprise, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14560	Уязвимость класса XMLToolMessage python-фреймворка для разработки приложений langroid, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию
BDU:2025-14710	Уязвимость реализации протокола Web Map Service (WMS) программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании
BDU:2025-15474	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15475	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15506	Уязвимость программной платформы ColdFusion, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15736	Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika, позволяющая нарушителю выполнить произвольный код
BDU:2026-00040	Уязвимость компонента Director NBR системы резервного копирования, репликации и восстановления виртуальных машин NAKIVO Backup and Replication, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2026-00260	Уязвимость среды разработки программного обеспечения систем автоматизации технологических процессов Totally Integrated Automation Portal (Portal TIA), программного обеспечения для моделирования и симуляции работы контроллеров серии Siemens S7, связан...
BDU:2026-00377	Уязвимость платформы управления политиками соединений Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю загружать произвольны...

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2012-1102	It was discovered that the XML::Atom Perl module before version 0.39 did not disable external entities when parsing XML from...
CVE-2014-125087	java-xmlbuilder xml external entity reference
CVE-2015-10029	kelvinmo simplexrd simplexrd.class.php xml external entity reference
CVE-2015-10082	UIKit0 libplist XML xplist.c plist_from_xml xml external entity reference
CVE-2016-15011	e-Contract dssp SignResponseVerifier.java checkSignResponse xml external entity reference
CVE-2016-15026	3breadt dd-plist xml external entity reference
CVE-2016-9487	EpubCheck 4.0.1 is vulnerable to external XML entity processing attacks
CVE-2016-9491	ManageEngine Applications Manager 12 and 13 is vulnerable to privilege escalation due to improper restriction of an XML exter...
CVE-2017-20151	iText RUPS XfaFile.java xml external entity reference
CVE-2017-3206	The Action Message Format (AMF3) deserializers used by Flamingo amf-serializer by Exadel, version 2.2.0, allows external enti...
CVE-2017-7464	It was found that the JAXP implementation used in JBoss EAP 7.0 for SAX and DOM parsing is vulnerable to certain XXE flaws. A...
CVE-2017-7465	It was found that the JAXP implementation used in JBoss EAP 7.0 for XSLT processing is vulnerable to code injection. An attac...
CVE-2017-7545	It was discovered that the XmlUtils class in jbpmmigration 6.5 performed expansion of external parameter entities while parsi...
CVE-2017-7907	An Improper XML Parser Configuration issue was discovered in Schneider Electric Wonderware Historian Client 2014 R2 SP1 and p...
CVE-2018-0100	A vulnerability in the Profile Editor of the Cisco AnyConnect Secure Mobility Client could allow an unauthenticated, local at...
CVE-2018-0108	A vulnerability in Cisco WebEx Meetings Server could allow an unauthenticated, remote attacker to collect customer files via...
CVE-2018-0414	Cisco Secure Access Control Server XML External Entity Injection Vulnerability
CVE-2018-10600	SEL AcSELerator Architect version 2.2.24.0 and prior allows unsanitized input to be passed to the XML parser, which may allow...
CVE-2018-10613	Multiple variants of XML External Entity (XXE) attacks may be used to exfiltrate data from the host Windows platform in GE MD...
CVE-2018-10614	An XXE vulnerability in LeviStudioU, Versions 1.8.29 and 1.8.44 can be exploited when the application processes specially cra...
CVE-2018-1077	Spacewalk 2.6 contains an API which has an XXE flaw allowing for the disclosure of potentially sensitive information from the...
CVE-2018-12471	External Entity processing in the RegistrationSharing module
CVE-2018-12544	In version from 3.5.Beta1 to 3.5.3 of Eclipse Vert.x, the OpenAPI XML type validator creates XML parsers without taking appro...
CVE-2018-15444	Cisco Energy Management Suite XML External Entity Vulnerability
CVE-2018-17247	Elasticsearch Security versions 6.5.0 and 6.5.1 contain an XXE flaw in Machine Learning's find_file_structure API. If a polic...
CVE-2018-17889	In WECON Technology Co., Ltd. PI Studio HMI versions 4.1.9 and prior and PI Studio versions 4.2.34 and prior when parsing pro...
CVE-2018-17912	An XXE vulnerability exists in CASE Suite Versions 3.10 and prior when processing parameter entities, which may allow remote...
CVE-2018-25082	zwczou WeChat SDK Python to_xml xml external entity reference
CVE-2019-10172	A flaw was found in org.codehaus.jackson:jackson-mapper-asl:1.9.x libraries. XML external entity vulnerabilities similar CVE-...
CVE-2019-10244	In Eclipse Kura versions up to 4.0.0, the Web UI package and component services, the Artemis simple Mqtt component and the em...
CVE-2019-10976	Mitsubishi Electric FR Configurator2, Version 1.16S and prior. This vulnerability is triggered when input passed to the XML p...
CVE-2019-12711	Cisco Unified Communications Manager XML External Expansion Vulnerability
CVE-2019-15983	Cisco Data Center Network Manager XML External Entity Read Access Vulnerability
CVE-2019-1698	Cisco IoT Field Network Director XML External Entity Vulnerability
CVE-2019-17637	In all versions of Eclipse Web Tools Platform through release 3.18 (2020-06), XML and DTD files referring to external entitie...
CVE-2019-18227	Advantech WISE-PaaS/RMM, Versions 3.3.29 and prior. XXE vulnerabilities exist that may allow disclosure of sensitive data.
CVE-2019-18943	XML External Entity processing
CVE-2019-1903	Cisco Security Manager XML Entity Expansion Vulnerability
CVE-2019-3752	Dell EMC Avamar Server versions 7.4.1, 7.5.0, 7.5.1, 18.2 and 19.1 and Dell EMC Integrated Data Protection Appliance (IDPA) v...
CVE-2019-3768	RSA Authentication Manager versions prior to 8.4 P7 contain an XML Entity Injection Vulnerability. A remote authenticated mal...
CVE-2019-3772	Spring Integration XML External Entity Injection (XXE)
CVE-2019-3773	Spring Web Services XML External Entity Injection (XXE)
CVE-2019-3774	Spring Batch XML External Entity Injection (XXE)
CVE-2019-6194	An XML External Entity (XXE) processing vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to...
CVE-2020-10629	WebAccess/NMS (versions prior to 3.0.2) does not sanitize XML input. Specially crafted XML input could allow an attacker to r...
CVE-2020-12025	Rockwell Automation Logix Designer Studio 5000 Versions 32.00, 32.01, and 32.02 vulnerable to an xml external entity (XXE) vu...
CVE-2020-14379	A flaw was found in Red Hat AMQ Broker in a way that a XEE attack can be done via Broker's configuration files, leading to de...
CVE-2020-14478	IMPROPER RESTRICTION OF XML EXTERNAL ENTITY REFERENCE CWE-611
CVE-2020-15232	XML External Entity attack in mapfish-print
CVE-2020-15418	This vulnerability allows remote attackers to disclose sensitive information on affected installations of Veeam ONE 10.0.0.75...
CVE-2020-15419	This vulnerability allows remote attackers to disclose sensitive information on affected installations of Veeam ONE 10.0.0.75...
CVE-2020-1693	A flaw was found in Spacewalk up to version 2.9 where it was vulnerable to XML internal entity attacks via the /rpc/api endpo...
CVE-2020-17408	This vulnerability allows remote attackers to disclose sensitive information on affected installations of NEC ExpressCluster...
CVE-2020-2012	PAN-OS: Panorama: XML external entity reference ('XXE') vulnerability leads the to information leak
CVE-2020-25649	A flaw was found in FasterXML Jackson Databind, where it did not have entity expansion secured properly. This flaw allows vul...
CVE-2020-26064	A vulnerability in the web UI of Cisco SD-WAN vManage Software could allow an authenticated, remote attacker to gain read and...
CVE-2020-26066	Cisco SD-WAN vManage Software XML External Entity Vulnerability
CVE-2020-26229	XML External Entity in Dashboard Widget
CVE-2020-26247	XXE in Nokogiri
CVE-2020-26981	A vulnerability has been identified in JT2Go (All versions < V13.1.0), Teamcenter Visualization (All versions < V13.1.0). Whe...
CVE-2020-27858	This vulnerability allows remote attackers to disclose sensitive information on affected installations of CA Arcserve D2D 16....
CVE-2020-28387	A vulnerability has been identified in Solid Edge SE2020 (All Versions < SE2020MP13), Solid Edge SE2021 (All Versions < SE202...
CVE-2020-3256	Cisco Hosted Collaboration Mediation Fulfillment XML External Expansion Vulnerability
CVE-2020-3405	Cisco SD-WAN vManage Software XML External Entity Vulnerability
CVE-2020-36640	bonitasoft bonita-connector-webservice SecureWSConnector.java TransformerConfigurationException xml external entity reference
CVE-2020-36641	gturri aXMLRPC ResponseParser.java ResponseParser xml external entity reference
CVE-2020-5323	Dell EMC OpenManage Enterprise (OME) versions prior to 3.2 and OpenManage Enterprise-Modular (OME-M) versions prior to 1.10.0...
CVE-2020-6590	Forcepoint Web Security Content Gateway versions prior to 8.5.4 improperly process XML input, leading to information disclosu...
CVE-2020-7032	Avaya WebLM Improper Restriction of XML External Entity Reference
CVE-2020-7035	XXE in Avaya Aura Orchestration Designer
CVE-2020-7036	XXE in Avaya Callback Assist Administration
CVE-2020-7037	Avaya Equinox Conferencing XXE vulnerability
CVE-2020-7572	A CWE-611 Improper Restriction of XML External Entity Reference vulnerability exists in EcoStruxure Building Operation WebRep...
CVE-2020-8256	A vulnerability in the Pulse Connect Secure < 9.1R8.2 admin web interface could allow an authenticated attacker to gain arbit...
CVE-2020-9044	Metasys Improper Restriction of XML External Entity Reference
CVE-2021-1369	Cisco Firepower Device Manager On-Box Software XML External Entity Vulnerability
CVE-2021-1483	Cisco SD-WAN vManage Software XML External Entity Vulnerability
CVE-2021-1530	Cisco BroadWorks Messaging Server XML External Entity Injection Vulnerability
CVE-2021-21266	XXE vulnerability in OpenHAB
CVE-2021-21517	SRS Policy Manager 6.X is affected by an XML External Entity Injection (XXE) vulnerability due to a misconfigured XML parser...
CVE-2021-22140	Elastic App Search versions after 7.11.0 and before 7.12.0 contain an XML External Entity Injection issue (XXE) in the App Se...
CVE-2021-22501	Improper Restriction of XML External Entity Reference vulnerability in OpenText™ Operations Bridge Manager allows Input Data...
CVE-2021-23901	An XML external entity (XXE) injection vulnerability exists in the Nutch DmozParser
CVE-2021-27492	When opening a specially crafted 3DXML file, the application containing Datakit Software libraries CatiaV5_3dRead, CatiaV6_3d...
CVE-2021-27604	In order to prevent XML External Entity vulnerability in SAP NetWeaver ABAP Server and ABAP Platform (Process Integration - E...
CVE-2021-29447	WordPress Authenticated XXE attack when installation is running PHP 8
CVE-2021-29620	XXE vulnerability on Launch import with externally-defined DTD file
CVE-2021-3055	PAN-OS: XML External Entity (XXE) Reference Vulnerability in the PAN-OS Web Interface
CVE-2021-32754	Improper Restriction of XML External Entity Reference in de.tud.sse
CVE-2021-32972	Panasonic FPWIN Pro, all Versions 7.5.1.1 and prior, allows an attacker to craft a project file specifying a URI that causes...
CVE-2021-34436	In Eclipse Theia 0.1.1 to 0.2.0, it is possible to exploit the default build to obtain remote code execution (and XXE) via th...
CVE-2021-34706	Cisco Identity Services Engine XML External Entity Injection Vulnerability
CVE-2021-37178	A vulnerability has been identified in Solid Edge SE2021 (All Versions < SE2021MP7). An XML external entity injection vulnera...
CVE-2021-3836	Improper Restriction of XML External Entity Reference in dbeaver/dbeaver
CVE-2021-3869	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2021-3878	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2021-3902	Improper Restriction of XML External Entity Reference in dompdf/dompdf
CVE-2021-40356	A vulnerability has been identified in Teamcenter V12.4 (All versions < V12.4.0.8), Teamcenter V13.0 (All versions < V13.0.0....
CVE-2021-40439	Billion Laughs
CVE-2021-40500	SAP BusinessObjects Business Intelligence Platform (Crystal Reports) - versions 420, 430, allows an unauthenticated attacker...
CVE-2021-40722	AEM Forms Improper Restriction of XML External Entity Reference
CVE-2021-41042	In Eclipse Lyo versions 1.0.0 to 4.1.0, a TransformerFactory is initialized with the defaults that do not restrict DTD loadin...
CVE-2021-41098	Improper Restriction of XML External Entity Reference (XXE) in Nokogiri on JRuby
CVE-2021-4295	ONC code-validator-api XML CodeValidatorApiConfiguration.java vocabularyValidationConfigurations xml external entity referenc...
CVE-2021-4311	Talend Open Studio for MDM XML xml external entity reference
CVE-2021-43990	ICSA-22-109-03 FANUC ROBOGUIDE Simulation Platform
CVE-2021-44477	GE Gas Power ToolBoxST Improper Restriction of XML External Entity Reference
CVE-2022-0198	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2022-0219	Improper Restriction of XML External Entity Reference in skylot/jadx
CVE-2022-0221	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could result in information disclo...
CVE-2022-0239	Improper Restriction of XML External Entity Reference in stanfordnlp/corenlp
CVE-2022-0265	Improper Restriction of XML External Entity Reference in hazelcast/hazelcast
CVE-2022-0272	Improper Restriction of XML External Entity Reference in detekt/detekt
CVE-2022-0839	Improper Restriction of XML External Entity Reference in liquibase/liquibase
CVE-2022-0861	ePO XML extended entity vulnerability
CVE-2022-1018	ICSA-22-088-01 Rockwell Automation ISaGRAF
CVE-2022-1331	Delta Electronics DMARS Improper Restriction of XML External Entity Reference
CVE-2022-1700	Improper Restriction of XML External Entity Reference ('XXE') vulnerability in the Policy Engine of Forcepoint Data Loss Prev...
CVE-2022-1704	Inductive Automation Ignition
CVE-2022-20938	A vulnerability in the module import function of the administrative interface of Cisco Firepower Management Center (FMC) Soft...
CVE-2022-2131	OpenKM XXE Injection
CVE-2022-21949	Multiple XXE vulnerabilities in OBS
CVE-2022-22486	IBM Tivoli Workload Scheduler XML external entity injection
CVE-2022-22795	Signiant - Manager+Agents XML External Entity (XXE)
CVE-2022-23031	On BIG-IP FPS, ASM, and Advanced WAF versions 16.1.x before 16.1.1, 15.1.x before 15.1.4, and 14.1.x before 14.1.4.4, an XML...
CVE-2022-23170	SysAid - Okta SSO integration
CVE-2022-2330	XXE vulnerability in DLP Endpoint for Windows
CVE-2022-23640	Improper Restriction of XML External Entity Reference in Excel-Streaming-Reader
CVE-2022-2414	Access to external entities when parsing XML documents can lead to XML external entity (XXE) attacks. This flaw allows a remo...
CVE-2022-24898	Arbitrary file access through XML parsing in org.xwiki.commons:xwiki-commons-xml
CVE-2022-2759	Delta Electronics Delta Robot Automation Studio (DRAS) versions prior to 1.13.20 are affected by improper restrictions where...
CVE-2022-2838	In Eclipse Sphinx™ before version 0.13.1, Apache Xerces XML Parser was used without disabling processing of referenced extern...
CVE-2022-29265	Improper Restriction of XML External Entity References in Multiple Components
CVE-2022-29801	A vulnerability has been identified in Teamcenter V12.4 (All versions < V12.4.0.13), Teamcenter V13.0 (All versions < V13.0.0...
CVE-2022-32285	A vulnerability has been identified in Mendix SAML Module (Mendix 7 compatible) (All versions < V1.16.6), Mendix SAML Module...
CVE-2022-32458	Data Systems Consulting Co., Ltd. BPM - XML External Entity (XXE) Injection
CVE-2022-3338	XXE in Trellix ePO server
CVE-2022-3340	Trellix IPS Manager vulnerable to XXE
CVE-2022-35168	Due to improper input sanitization of XML input in SAP Business One - version 10.0, an attacker can perform a denial-of-servi...
CVE-2022-36969	This vulnerability allows remote attackers to disclose sensitive information on affected installations of AVEVA Edge 2020 SP2...
CVE-2022-38389	IBM Tivoli Workload Scheduler XML external entity injection
CVE-2022-38419	Adobe ColdFusion Solr Service XML External Entity Processing Arbitrary file system read
CVE-2022-39135	Apache Calcite: potential XEE attacks
CVE-2022-39954	An improper restriction of xml external entity reference in Fortinet FortiNAC version 9.4.0 through 9.4.1, FortiNAC version 9...
CVE-2022-40705	Apache SOAP: XML External Entity Injection (XXE) allows unauthenticated users to read arbitrary files via HTTP
CVE-2022-41967	Improper Restriction of XML External Entity Reference in Dragonfly
CVE-2022-42341	Adobe ColdFusion Improper Restriction of XML External Entity Reference Arbitrary file system read
CVE-2022-43473	A blind XML External Entity (XXE) vulnerability exists in the Add UCS Device functionality of ManageEngine OpManager 12.6.168...
CVE-2022-43570	XML External Entity Injection through a custom View in Splunk Enterprise
CVE-2022-43941	Hitachi Vantara Pentaho Business Analytics Server - Improper Restriction of XML External Entity Reference
CVE-2022-45876	CVE-2022-45876
CVE-2022-4607	3D City Database OGC Web Feature Service xml external entity reference
CVE-2022-46751	Apache Ivy: XML External Entity vulnerability in Apache Ivy
CVE-2022-4818	Talend Open Studio for MDM SystemStorageWrapper.java xml external entity reference
CVE-2023-0871	An XML External Entity injection vulnerability
CVE-2023-1288	ENOVIA Live Collaboration V6R2013xE is affected by an XML External Entity injection (XXE) vulnerability
CVE-2023-20030	Cisco Identity Services Engine XML External Entity Injection Vulnerability
CVE-2023-20052	On Feb 15, 2023, the following vulnerability in the ClamAV scanning library was disclosed: A vulnerability in the DMG fi...
CVE-2023-20173	Cisco Identity Services Engine XML External Entity Injection Vulnerabilities
CVE-2023-20174	Cisco Identity Services Engine XML External Entity Injection Vulnerabilities
CVE-2023-2161	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause unauthorized read acc...
CVE-2023-22274	ZDI-CAN-21305: Adobe RoboHelp Server UpdateCommandStream XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-22832	Apache NiFi: Improper Restriction of XML External Entity References in ExtractCCDAAttributes
CVE-2023-23926	APOC (Awesome Procedures on Cypher) is an add-on library for Neo4j. An XML External Entity (XXE) vulnerability found in the a...
CVE-2023-24466	Possible XML External Entity Injection in OpenText iManager
CVE-2023-25926	IBM Security Guardium Key Lifecycle Manager XML external entity injection
CVE-2023-26043	XML External Entity (XXE) injection in GeoServer style upload functionality
CVE-2023-26461	XML External Entity (XXE) vulnerability in SAP NetWeaver (SAP Enterprise Portal)
CVE-2023-27476	XML External Entity (XXE) Injection in OWSLib
CVE-2023-27480	Data leak through a XAR import XXE attack in xwiki-platform-xar-model
CVE-2023-27554	IBM WebSphere Application Server XML external entity injection
CVE-2023-27874	IBM Aspera Faspex XML external entity injection
CVE-2023-27876	IBM TRIRIGA Application Platform XML external entity injection
CVE-2023-2806	Weaver e-cology API RequestInfoByXml xml external entity reference
CVE-2023-28828	A vulnerability has been identified in Polarion ALM (All versions < V22R2). The application contains a XML External Entity In...
CVE-2023-30951	CVE-2023-30951
CVE-2023-3113	An unauthenticated XML external entity injection (XXE) vulnerability exists in LXCA's Common Information Model (CIM) server t...
CVE-2023-32327	IBM Security Access Manager Container XML external entity injection
CVE-2023-32706	Denial Of Service due to Untrusted XML Tag in XML Parser within SAML Authentication
CVE-2023-3276	Dromara HuTool XML Parsing Module XmlUtil.java readBySax xml external entity reference
CVE-2023-35389	Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability
CVE-2023-35892	IBM Financial Transaction Manager for SWIFT Services XML external entity injection
CVE-2023-36419	Azure HDInsight Apache Oozie Workflow Scheduler XXE Elevation of Privilege Vulnerability
CVE-2023-37200	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause loss of confidentiali...
CVE-2023-38490	Kirby XML External Entity (XXE) vulnerability in the XML data handler
CVE-2023-38693	RCE in Lucee REST endpoint
CVE-2023-3892	Unsafe XML parsing of 3rd party DICOM private tags may lead to XXE
CVE-2023-39472	Inductive Automation Ignition SimpleXMLReader XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-40503	LG Simple Editor saveXmlFile XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-40506	LG Simple Editor copyContent XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-40507	LG Simple Editor copyContent XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-41034	DDFFileParser in eclipse leshan is vulnerable to XXE Attacks
CVE-2023-41365	Information Disclosure vulnerability in SAP Business One (B1i)
CVE-2023-41369	External Entity Loop vulnerability in SAP S/4HANA (Create Single Payment application)
CVE-2023-42035	Visualware MyConnection Server doIForward XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-4218	XXE in eclipse.platform / Eclipse IDE
CVE-2023-42445	Possible local file exfiltration by XML External entity injection
CVE-2023-43067	Dell Unity prior to 5.3 contains an XML External Entity injection vulnerability. An XXE attack could potentially exploit thi...
CVE-2023-44412	D-Link D-View addDv7Probe XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-45139	fonttools XML External Entity Injection (XXE) Vulnerability
CVE-2023-45192	IBM Engineering Requirements Management DOORS Next XML external entity injection
CVE-2023-4554	XML External Entity (XXE) Processing
CVE-2023-46590	A vulnerability has been identified in Siemens OPC UA Modelling Editor (SiOME) (All versions < V2.8). Affected products suffe...
CVE-2023-47160	IBM Cognos Controller XML external entity injection
CVE-2023-48362	Apache Drill: XXE Vulnerability in XML Format Reader
CVE-2023-49110	XML External Entity Injection in Kiuwan SAST
CVE-2023-49733	Apache Cocoon's StreamGenerator is vulnerable to XXE injection
CVE-2023-50168	Pega Platform from 6.x to 8.8.4 is affected by an XXE issue with PDF Generation.
CVE-2023-50304	IBM Engineering Requirements Management DOORS XML external entity injection
CVE-2023-50380	Apache Ambari: authenticated users could perform XXE to read arbitrary files on the server
CVE-2023-5136	Incorrect Permission Assignment in the TopoGrafix DataPlugin for GPX
CVE-2023-51591	Voltronic Power ViewPower Pro doDocument XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51600	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51601	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51602	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51604	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-51605	Honeywell Saia PG5 Controls Suite XML External Entity Processing Information Disclosure Vulnerability
CVE-2023-6147	Possible XXE vulnerability in Jenkins Plugin for Qualys Policy Compliance
CVE-2023-6149	Possible XXE vulnerability in Jenkins Plugin for Qualys Web Application Security
CVE-2023-6194	In Eclipse Memory Analyzer versions 0.7 to 1.14.0, report definition XML files are not filtered to prohibit document type def...
CVE-2023-6280	XML External Entity Reference on 52North WPS
CVE-2023-6721	Improper Restriction of XML External Entity Reference in Repox
CVE-2023-6836	Multiple WSO2 products have been identified as vulnerable due to an XML External Entity (XXE) attack abuses a widely availabl...
CVE-2023-7307	Sangfor Behavior Management System XML External Entity Injection
CVE-2024-10839	XML External Entity
CVE-2024-1167	SEW-EURODRIVE MOVITOOLS MotionStudio Improper Restriction of XML External Entity Reference
CVE-2024-12298	Vulnerability Report on Improper Restriction of XML External Entity Reference in NB-Designer
CVE-2024-12476	CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause information disclosure,...
CVE-2024-20531	Cisco Identity Services Engine XML External Entity Injection Vulnerability
CVE-2024-22354	IBM WebSphere Application Server XML external entity injection
CVE-2024-24743	XXE vulnerability in SAP NetWeaver AS Java (Guided Procedures)
CVE-2024-25066	RSA Authentication Manager before 8.7 SP2 Patch 1 allows XML External Entity (XXE) attacks via a license file, resulting in a...
CVE-2024-25129	Limited data exfiltration in CodeQL CLI
CVE-2024-25606	XXE vulnerability in Liferay Portal 7.2.0 through 7.4.3.7, and older unsupported versions, and Liferay DXP 7.4 before update...
CVE-2024-25971	Dell PowerProtect Data Manager, version 19.15, contains an XML External Entity Injection vulnerability. A remote high privile...
CVE-2024-27266	IBM Maximo Application Suite XML external entity injection
CVE-2024-28168	Apache XML Graphics FOP: XML External Entity (XXE) Processing
CVE-2024-28198	XML external entity (XXE) injection in OpenOLAT
CVE-2024-2826	lakernote EasyAdmin saveReportFile xml external entity reference
CVE-2024-29010	The XML document processed in the GMS ECM URL endpoint is vulnerable to XML external entity (XXE) injection, potentially resu...
CVE-2024-30043	Microsoft SharePoint Server Information Disclosure Vulnerability
CVE-2024-34102	XXE can expose crypt key and other secrets granting full admin access
CVE-2024-34345	@cyclonedx/cyclonedx-library Improper Restriction of XML External Entity Reference vulnerability
CVE-2024-34711	GeoServer has improper ENTITY_RESOLUTION_ALLOWLIST URI validation in XML Processing (SSRF)
CVE-2024-3486	XML External Entity injection vulnerability in iManager
CVE-2024-38374	Improper Restriction of XML External Entity Reference in org.cyclonedx:cyclonedx-core-java
CVE-2024-3930	XML External Entity in Akana
CVE-2024-39586	Dell AppSync Server, version 4.3 through 4.6, contains an XML External Entity Injection vulnerability. An adjacent high privi...
CVE-2024-3969	XML External Entity injection vulnerability in iManager
CVE-2024-39726	IBM Engineering Insights XML external entity injection
CVE-2024-40896	In libxml2 2.11 before 2.11.9, 2.12 before 2.12.9, and 2.13 before 2.13.3, the SAX parser can produce events for external ent...
CVE-2024-4184	Multiple XXE sinks in ALM archive post-build step in OpenText Application Automation Tools
CVE-2024-4189	Multiple XXE sinks in Run LoadRunner script step in OpenText Application Automation Tools
CVE-2024-42185	HCL BigFix Patch Download Plug-ins are affected by an insecure package which is susceptible to XML injection attacks
CVE-2024-4357	XML External Entity Processing Information Disclosure
CVE-2024-45048	XML External Entity Reference (XXE) in PHPSpreadsheet
CVE-2024-45072	IBM WebSphere Application Server XML external entity injection
CVE-2024-45086	IBM WebSphere Application Server XML external entity injection
CVE-2024-45293	XML External Entity Reference (XXE) in PHPSpreadsheet's XLSX reader
CVE-2024-45294	`org.hl7.fhir.core` XXE vulnerability in XSLT transforms
CVE-2024-45745	TopQuadrant TopBraid EDG JavaScript console XXE
CVE-2024-4690	Insecure usage for DocumentBuilderFactory and TransformerFactory in OpenText Application Automation Tools
CVE-2024-46984	XML External Entity Reference (XXE) vulnerability can lead to a Server Side Request Forgery attack in gematik app-referenceva...
CVE-2024-46985	DataEase has an XXE vulnerability
CVE-2024-47582	XML Entity Expansion Vulnerability in SAP NetWeaver AS JAVA
CVE-2024-47873	PhpSpreadsheet XmlScanner bypass leads to XXE
CVE-2024-48917	XXE in PHPSpreadsheet's XLSX reader
CVE-2024-49064	Microsoft SharePoint Information Disclosure Vulnerability
CVE-2024-49352	IBM Cognos Anaytics XML external entity injection
CVE-2024-49535	Acrobat Reader \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2024-49704	A vulnerability has been identified in COMOS V10.3 (All versions < V10.3.3.5.8), COMOS V10.4.0 (All versions), COMOS V10.4.1...
CVE-2024-49781	IBM OpenPages XML external entity injection
CVE-2024-50442	WordPress Royal Elementor Addons and Templates plugin <= 1.3.980 - XML External Entity (XXE) vulnerability
CVE-2024-51445	A vulnerability has been identified in Polarion V2310 (All versions), Polarion V2404 (All versions < V2404.4). The affected a...
CVE-2024-52007	XXE vulnerability in XSLT parsing in `org.hl7.fhir.core`
CVE-2024-52596	SimpleSAMLphp xml-common XXE vulnerability
CVE-2024-52800	Potential XXE (XML External Entity Injection) vulnerability in veraPDF CLI
CVE-2024-52806	SimpleSAMLphp SAML2 has an XXE in parsing SAML messages
CVE-2024-52807	XXE vulnerability in XSLT parsing in `org.hl7.fhir.publisher`
CVE-2024-54005	A vulnerability has been identified in COMOS V10.3 (All versions < V10.3.3.5.8), COMOS V10.4.0 (All versions), COMOS V10.4.1...
CVE-2024-54171	IBM EntireX XML external entity injection
CVE-2024-55875	http4k has a potential XXE (XML External Entity Injection) vulnerability
CVE-2024-55887	Ucum-java has an XXE vulnerability in XML parsing
CVE-2024-5625	XML External Entity Injection in PruvaSoft Informatics' Apinizer Management Console
CVE-2024-56322	GoCD vulnerable to XXE injection via abuse of unused XML configuration repository functionality
CVE-2024-56324	GoCD vulnerable to XXE injection via abuse of pipeline XML "snippet" editing by group admins
CVE-2024-5919	PAN-OS: Authenticated XML External Entities (XXE) Injection Vulnerability
CVE-2024-6893	Journyx Unauthenticated XML External Entities Injection
CVE-2024-6961	XXE in Guardrails AI when consuming RAIL documents
CVE-2024-7098	XML Injection in SFS Consulting's ww.Winsure
CVE-2024-8602	XML Eternal Entity Attack in the Software Library taxstatement.jar
CVE-2024-9044	XML External Entity (XXE) Vulnerability in EasyTax
CVE-2025-0162	IBM Aspera Shares XML external entity injection
CVE-2025-10091	Jinher OA XML Type xml external entity reference
CVE-2025-10092	Jinher OA XML Type xml external entity reference
CVE-2025-10183	XML External Entity Injection in TecConnect 4.1
CVE-2025-10713	XML External Entity (XXE) Vulnerability in Multiple WSO2 Products Due to Improper XML Parser Configuration
CVE-2025-10816	Jinher OA XML text xml external entity reference
CVE-2025-11035	Jinher OA text xml external entity reference
CVE-2025-11140	Bjskzy Zhiyou ERP com.artery.richclient.RichClientService openForm xml external entity reference
CVE-2025-11341	Jinher OA type xml external entity reference
CVE-2025-11700	N-central importServiceFromFile XXE Injection
CVE-2025-1225	ywoa WXCallBack Interface XMLParse.java extract xml external entity reference
CVE-2025-12531	IBM InfoSphere Information Server is affected by an XML external entity injection (XXE) vulnerability
CVE-2025-13209	bestfeng oa_git_free WorkflowPredefineController.java updateWriteBack xml external entity reference
CVE-2025-1781	There is a XXE in W3CSS Validator versions before cssval-20250226 that allows an attacker to use specially-crafted XML object...
CVE-2025-2070	An improper XML parsing vulnerability was reported in the FileZ client that could allow arbitrary file reads on the system if...
CVE-2025-22478	Dell Storage Center - Dell Storage Manager, version(s) 20.1.20, contain(s) an Improper Restriction of XML External Entity Ref...
CVE-2025-23195	Apache Ambari: XML External Entity (XXE) Vulnerability in Ambari/Oozie
CVE-2025-2365	crmeb_java WeChatMessageController.java webHook xml external entity reference
CVE-2025-24521	Keysight Ixia Vision Product Family Improper Restriction of XML External Entity Reference
CVE-2025-24910	Hitachi Vantara Pentaho Business Analytics Server - Improper Restriction of XML External Entity Reference
CVE-2025-24911	Hitachi Vantara Pentaho Business Analytics Server - Improper Restriction of XML External Entity Reference
CVE-2025-25036	Jalios JPlatform 10 Authenticated XML External Entity Injection (XXE)
CVE-2025-26400	SolarWinds Web Help Desk XML External Entity Injection (XXE) Vulnerability
CVE-2025-26484	Dell CloudLink, versions 8.0 through 8.1.1, contains an Improper Restriction of XML External Entity Reference vulnerability....
CVE-2025-27136	LocalS3 CreateBucketConfiguration Endpoint XML External Entity (XXE) Injection
CVE-2025-27523	XXE vulnerability in JP1/IT Desktop Management 2 - Smart Device Manager
CVE-2025-2775	SysAid On-Prem <= 23.3.40 Checkin Proceessing XML External Entity Injection
CVE-2025-2776	SysAid On-Prem <= 23.3.40 serverurl Proceessing XML External Entity Injection
CVE-2025-2777	SysAid On-Prem <= 23.3.40 lshw Proceessing XML External Entity Injection
CVE-2025-2905	An XML External Entity (XXE) vulnerability in Multiple WSO2 Products
CVE-2025-30018	Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit)
CVE-2025-30220	GeoTools, GeoServer, and GeoNetwork XML External Entity (XXE) Processing Vulnerability in XSD schema handling
CVE-2025-31039	WordPress Category Icon plugin <= 1.0.2 - XML External Entity (XXE) vulnerability
CVE-2025-31487	The XWiki JIRA extension allows data leak through an XXE attack by using a fake JIRA server
CVE-2025-31497	TEIGarage XML External Entity (XXE) Injection in Document Conversion Service
CVE-2025-32138	WordPress Easy Google Maps plugin <= 1.11.17 - XML External Entity vulnerability
CVE-2025-32406	An XXE issue in the Director NBR component in NAKIVO Backup & Replication 10.3.x through 11.0.1 before 11.0.2 allows remote a...
CVE-2025-3241	zhangyanbo2007 youkefu XML Document CallCenterRouterController.java xml external entity reference
CVE-2025-33121	IBM QRadar SIEM XML external entity injection
CVE-2025-34142	ETQ Reliance CG < SE.2025.1 / < 2025.1.2 XXE Injection in SSO SAML Handler
CVE-2025-34490	GFI MailEssentials < 21.8 XXE Arbitrary File Read
CVE-2025-35112	Agiloft XML external entity local path traversal
CVE-2025-36049	IBM webMethods Integration Sever XML external entity injection
CVE-2025-36603	Dell AppSync, version(s) 4.6.0.0, contains an Improper Restriction of XML External Entity Reference vulnerability. A low priv...
CVE-2025-36608	Dell SmartFabric OS10 Software, versions prior to 10.6.0.5, contains an Improper Restriction of XML External Entity Reference...
CVE-2025-4044	XML External Entity Injection vulnerability in various Lexmark Universal Drivers
CVE-2025-40584	A vulnerability has been identified in SIMOTION SCOUT TIA V5.4 (All versions), SIMOTION SCOUT TIA V5.5 (All versions), SIMOTI...
CVE-2025-4338	Lantronix Device Installer Improper Restriction of XML External Entity Reference
CVE-2025-4639	Improper Restriction of XML External Entity Reference in Peergos
CVE-2025-4641	XML External Entity (XXE) injection vulnerability in WebDriverManager
CVE-2025-46425	Dell Storage Center - Dell Storage Manager, version(s) 20.1.20, contain(s) an Improper Restriction of XML External Entity Ref...
CVE-2025-46726	Langroid Vulnerable to XXE Injection via XMLToolMessage
CVE-2025-47293	PowSyBl Core XML Reader allows XXE and SSRF
CVE-2025-47778	Sulu vulnerable to XXE in SVG File upload Inspector
CVE-2025-48006	Improper restriction of XML external entity reference issue exists in DataSpider Servista 4.4 and earlier. If a specially cra...
CVE-2025-48882	PHPOffice Math allows XXE when processing an XML file in the MathML format
CVE-2025-4949	XXE vulnerability in Eclipse JGit
CVE-2025-49493	Akamai CloudTest before 60 2025.06.02 (12988) allows file inclusion via XML External Entity (XXE) injection.
CVE-2025-49535	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-49539	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-49544	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-52888	Allure 2's xunit-xml-plugin Vulnerable to Improper XXE Restriction
CVE-2025-53621	DSpace vulnerable to XML External Entity (XXE) injection in import via Simple Archive Format (SAF) or import from external so...
CVE-2025-53689	Apache Jackrabbit: XXE vulnerability in jackrabbit-spi-commons
CVE-2025-54254	Adobe Experience Manager \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-54445	Improper Restriction of XML External Entity Reference vulnerability in Samsung Electronics MagicINFO 9 Server allows Server S...
CVE-2025-54988	Apache Tika PDF parser module: XXE vulnerability in PDFParser's handling of XFA
CVE-2025-54992	OpenKilda XXE in SAML configuration
CVE-2025-57704	EIP Builder XML External Entity Processing Information Disclosure Vulnerability
CVE-2025-58360	GeoServer is vulnerable to an Unauthenticated XML External Entities (XXE) attack via WMS GetMap feature
CVE-2025-5877	Fengoffice Feng Office Document Upload ApplicationDataObject.class.php xml external entity reference
CVE-2025-61813	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-61821	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-61823	ColdFusion \| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
CVE-2025-6438	A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause manipulation of...
CVE-2025-64518	CycloneDX Core (Java): BOM validation is vulnerable to XML External Entity injection
CVE-2025-66370	Kivitendo before 3.9.2 allows XXE injection. By uploading an electronic invoice in the ZUGFeRD format, it is possible to read...
CVE-2025-66371	Peppol-py before 1.1.1 allows XXE attacks because of the Saxon configuration. When validating XML-based invoices, the XML par...
CVE-2025-66372	Mustang before 2.16.3 allows exfiltrating files via XXE attacks.
CVE-2025-66516	Apache Tika core, Apache Tika parsers, Apache Tika PDF parser module: Update to CVE-2025-54988 to expand scope of artifacts a...
CVE-2025-68280	Apache SIS: XML External Entity (XXE) vulnerability
CVE-2025-68463	Bio.Entrez in Biopython through 186 allows doctype XXE.
CVE-2025-6985	XXE Vulnerability in langchain-ai/langchain
CVE-2025-7523	Jinher OA DelTemp.aspx xml external entity reference
CVE-2025-7766	Lantronix Provisioning Manager Improper Restriction of XML External Entity Reference
CVE-2025-7823	Jinher OA ProjectScheduleDelete.aspx xml external entity reference
CVE-2025-7824	Jinher OA XmlHttp.aspx xml external entity reference
CVE-2025-8355	XXE leading to SSRF
CVE-2026-1218	Bjskzy Zhiyou ERP com.artery.richclient.RichClientService RichClientService.class initRCForm xml external entity reference
CVE-2026-20029	Cisco Identity Services Engine XML External Entity Processing Information Disclosure Vulnerability
CVE-2026-22186	Bio-Formats <= 8.3.0 XXE in Leica XLEF Metadata Parser

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20231006-25	06.10.2023	Чтение локальных файлов в D-Link D-View
VULN:20231208-20	08.12.2023	Чтение локальных файлов в Dell EMC Enterprise SONiC
VULN:20240124-13	24.01.2024	Получение конфиденциальной информации в Oracle Business Intelligence Enterprise Edition
VULN:20240124-15	24.01.2024	Получение конфиденциальной информации в Oracle Business Intelligence Enterprise Edition
VULN:20240124-53	24.01.2024	Получение конфиденциальной информации в Crestron AM-300
VULN:20240209-3	09.02.2024	Чтение локальных файлов в Pulse Connect Secure and Pulse Policy Secure
VULN:20240708-20	08.07.2024	Получение конфиденциальной информации в InfoSphere Master Data Management
VULN:20240715-51	15.07.2024	Межсайтовый скриптинг в Adobe Commerce (formerly Magento Commerce)
VULN:20240828-1	28.08.2024	Получение конфиденциальной информации в Ivanti Avalanche
VULN:20240916-28	16.09.2024	Получение конфиденциальной информации в Ivanti Endpoint Manager
VULN:20240916-63	16.09.2024	Получение конфиденциальной информации в Libxml2
VULN:20240930-31	30.09.2024	Получение конфиденциальной информации в DataEase
VULN:20241007-40	07.10.2024	Получение конфиденциальной информации в HL7 fhir-ig-publisher
VULN:20241202-130	02.12.2024	Получение конфиденциальной информации в Jenkins IvyTrigger plugin
VULN:20241213-112	13.12.2024	Получение конфиденциальной информации в HL7 FHIR
VULN:20241213-113	13.12.2024	Получение конфиденциальной информации в HL7 FHIR
VULN:20241213-74	13.12.2024	Выполнение произвольного кода в Adobe Acrobat and Reader
VULN:20241213-81	13.12.2024	Получение конфиденциальной информации в SimpleSAMLphp
VULN:20250409-5	09.04.2025	Получение конфиденциальной информации в Dell VxRail Appliance
VULN:20250425-15	25.04.2025	Подделка запросов на стороне сервера в MySQL Workbench
VULN:20250425-34	25.04.2025	Получение конфиденциальной информации в Oracle Communications Policy Management
VULN:20250425-45	25.04.2025	Получение конфиденциальной информации в Oracle HTTP Server
VULN:20250425-50	25.04.2025	Перезапись произвольных файлов в Oracle Managed File Transfer
VULN:20250716-76	16.07.2025	Получение конфиденциальной информации в Adobe ColdFusion
VULN:20250821-64	21.08.2025	Чтение локальных файлов в Adobe Experience Manager (AEM) Forms on JEE
VULN:20250922-5	22.09.2025	Получение конфиденциальной информации в FUJIFILM Xerox Freeflow Core
VULN:20251215-5	15.12.2025	Получение конфиденциальной информации в Adobe ColdFusion

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.