XSLT Injection
설명
서버 측 XSLT 프로세서에 XSL 템플릿을 제공할 수 있습니다. XSLT 프로세서는 파일을 읽거나 쓰거나, 외부 연결을 시작하거나, 경우에 따라 임의의 코드를 실행하는 데 악용될 수 있습니다.
복구
응용 프로그램은 사용자가 제공한 스타일 시트를 절대로 수용해서는 안 됩니다. XSLT 프로세서는 잠재적으로 악의적인 스타일 시트 파일을 처리하기 위해 만들어지지 않았습니다. 그러나 일부 프로세서는 보안 기능을 구현하거나 제공하기도 합니다. 대상 응용 프로그램에서 사용하는 XSLT 프로세서의 보안 지침 및 강화 단계에 대한 설명서를 참조하십시오. 최소한 모든 XML 구문 분석기와 프로세서는 외부 엔터티 해결을 비활성화하는 것이 권장됩니다.
세부 정보
| ID | 집계 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 74.1 | false | 74 | Active | 높음 |
도움말