XXE (XML External Entity)
Parser XML que resuelve entidades externas.
Categoría: Web · Vectores avanzados 🎯 Trinchera — Parser XML que resuelve entidades externas. Defines una entidad apuntando afile:///etc/passwd o a una URL interna y el
parser te devuelve el contenido en la respuesta.
🔗 Kill chain — De XXE a: lectura de archivos (SYSTEM "file:///etc/shadow"), SSRF (SYSTEM "http://internal-api/"), RCE
en parsers viejos (PHP expect://), Billion Laughs DoS, exfil
out-of-band vía DNS/HTTP con XXE blind.
📡 Huella defensiva — Logs del parser cargando DTDs externas;
DNS queries hacia dominios atacante; tráfico saliente del parser.
⚠️ Falso amigo — Parser parcheado para entidades pero no para
parameter entities (%xxe;). Probar XXE blind con <!ENTITY % …>.
🛡️ Remediación — Deshabilitar entidades externas en cada parser:
Java (XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES=false),
PHP (libxml_disable_entity_loader(true) en versiones <8),
Python (defusedxml).
← Volver al glosario completo Última actualización: 2026-06-11