www.onlinetis.com La vulnerabilidad de inyección XML External Entity (XXE) es un tipo de ataque en el que un atacante puede explotar un analizador XML que procesa entidades externas. Esta vulnerabilidad ocurre cuando una aplicación web procesa documentos XML sin deshabilitar la capacidad de procesar entidades externas, lo que permite al atacante incluir archivos locales, realizar peticiones de red o incluso ejecutar código de forma remota. ¿Cómo funciona un ataque XXE? El ataque se basa en la definición de una DTD (Document Type Definition) que incluye una entidad externa. Un atacante crea un documento XML que, al ser analizado por la aplicación, realiza una acción maliciosa. Ejemplo 1: Exfiltración de archivos del sistema 📂 En este escenario, el atacante intenta leer un archivo sensible del servidor, como /etc/passwd en sistemas Linux. Petición maliciosa del atacante: XML <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd...