XXEはXMLのDTD(ドックタイプ宣言)処理を利用した外部エンティティ参照にまつわる脆弱性のこと。
古いXMLプロセッサの場合はXXE対策がされていない場合がある。
また外部エンティティを参照しないXMLプロセッサでも、デフォルトではおこなわないだけで、処理によっては参照可能という場合があるため、XMLプロセッサの仕様に注意する。
参考:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
外部エンティティの参照により、サーバー内の情報を取得することが可能となる。
具体的には「アップロードされたXMLのデータを解析・出力する機能」においてDTD処理が有効になっている場合は、下記のようなXMLをアップロードすることで、該当ファイルの中身(下記の場合 /etc/passwd )を出力することができる。
<!DOCTYPE foo [
<!ENTITY pass SYSTEM "/etc/passwd">
]>