XSLT 인젝션
설명
서버 측 XSLT 프로세서에 XSL 템플릿을 제공하는 것이 가능합니다. XSLT 프로세서는 파일을 읽거나 쓸 수 있고, 외부 연결을 시작하거나, 경우에 따라 임의의 코드를 실행하는 데 악용될 수 있습니다.
remediation
애플리케이션은 사용자가 제공한 스타일 시트를 절대 수용해서는 안 됩니다. XSLT 프로세서는 잠재적으로 악의적인 스타일시트 파일을 처리하도록 설계되지 않았습니다. 그러나 일부 프로세서는 보안 기능을 구현하거나 제공하며, 이는 사용할 수 있습니다. 대상 애플리케이션에서 사용하는 XSLT 프로세서의 문서를 참조하여 보안 가이드라인 및 강화 단계를 확인하세요. 모든 XML 파서 및 프로세서는 최소한 외부 엔터티 해석을 비활성화하는 것이 권장됩니다.
세부정보
ID | Aggregated | CWE | Type | Risk |
---|---|---|---|---|
74.1 | false | 74 | Active | high |