目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-91 XML注入(XPath盲注) 类漏洞列表 50

CWE-91 XML注入(XPath盲注) 类弱点 50 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-91即XML注入(又称盲XPath注入),属于输入验证缺陷。攻击者通过注入恶意XML字符或结构,篡改XML语法与内容,从而绕过逻辑控制或执行非预期命令。开发者应严格对用户输入进行白名单验证,对特殊字符如<、>、&等进行实体编码或转义,并使用安全的XML解析库,避免直接拼接用户数据,以阻断注入路径。

MITRE CWE 官方描述
CWE:CWE-91 XML Injection(又称 Blind XPath Injection) 英文:产品未能正确中和 XML 中使用的特殊元素,导致攻击者可以在 XML 被最终系统处理之前修改其语法、内容或命令。 在 XML 中,特殊元素可能包括保留字或字符,如 "<"、">"、""" 和 "&",这些元素可用于添加新数据或修改 XML 语法。
常见影响 (1)
Confidentiality, Integrity, AvailabilityExecute Unauthorized Code or Commands, Read Application Data, Modify Application Data
缓解措施 (1)
ImplementationAssume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range…
CVE ID标题CVSS风险等级Published
CVE-2026-41650 fast-xml-parser XMLBuilder 未转义分隔符导致注入漏洞 — fast-xml-parser 6.1 Medium2026-05-07
CVE-2026-41675 xmldom 未验证处理指令序列化导致的XML节点注入漏洞 — xmldom--2026-05-07
CVE-2026-41674 xmldom 未验证文档类型序列化导致XML注入漏洞 — xmldom--2026-05-07
CVE-2026-41672 xmldom XML节点注入漏洞 — xmldom--2026-05-07
CVE-2026-27693 Traccar KML和GPX导出XML注入漏洞 — traccar 5.4 Medium2026-05-05
CVE-2026-32870 Kirby 安全漏洞 — kirby 7.1AIHighAI2026-04-24
CVE-2026-34601 XMLDOM 安全漏洞 — xmldom 7.5 High2026-04-02
CVE-2026-28770 International Datacasting SFX Series SuperFlex Satellite Receiver Web management interface 安全漏洞 — SFX Series SuperFlex Satellite Receiver Web management interface 5.4AIMediumAI2026-03-04
CVE-2026-1554 Drupal Central Authentication System Server 安全漏洞 — Central Authentication System (CAS) Server 8.8AIHighAI2026-02-04
CVE-2022-50902 Wondershare FamiSafe 安全漏洞 — Wondershare FamiSafe 8.4 High2026-01-13
CVE-2025-1545 WatchGuard Fireware OS 安全漏洞 — Fireware OS 7.5AIHighAI2025-12-04
CVE-2025-66034 FontTools 安全漏洞 — fonttools 6.3 Medium2025-11-29
CVE-2025-12921 OpenClinica Community Edition 安全漏洞 — Community Edition 4.3 Medium2025-11-09
CVE-2025-7473 ZOHO ManageEngine Endpoint Central 安全漏洞 — Endpoint Central 5.2 Medium2025-10-21
CVE-2025-54251 Adobe Experience Manager 安全漏洞 — Adobe Experience Manager 4.3 Medium2025-09-09
CVE-2025-24404 Apache HertzBeat 安全漏洞 — Apache HertzBeat (incubating) 8.8AIHighAI2025-09-09
CVE-2025-9375 xmltodict 安全漏洞 — xmltodict 9.1AICriticalAI2025-09-01
CVE-2025-49538 Adobe ColdFusion 安全漏洞 — ColdFusion 7.4 High2025-07-08
CVE-2024-47113 IBM ICP Voice Gateway 安全漏洞 — Voice Gateway 8.1 High2025-01-18
CVE-2024-13190 myblog 安全漏洞 — myblog 6.3 Medium2025-01-08
CVE-2024-53675 Hewlett Packard Enterprise Insight Remote Support 安全漏洞 — HPE Insight Remote Support 7.3 High2024-11-26
CVE-2024-53674 Hewlett Packard Enterprise Insight Remote Support 安全漏洞 — HPE Insight Remote Support 7.3 High2024-11-26
CVE-2024-11622 Hewlett Packard Enterprise Insight Remote Support 安全漏洞 — HPE Insight Remote Support 7.3 High2024-11-26
CVE-2024-42374 SAP BEx Web Java Runtime Export Web Service 安全漏洞 — SAP BEx Web Java Runtime Export Web Service 8.2 High2024-08-13
CVE-2023-32173 Unified Automation UaGateway 安全漏洞 — UaGateway 6.5 -2024-05-03
CVE-2023-27328 Corel Parallels Desktop 安全漏洞 — Desktop 8.8 -2024-05-03
CVE-2024-28109 veraPDF-library 安全漏洞 — veraPDF-library 8.1 High2024-03-28
CVE-2023-46214 Splunk 安全漏洞 — Splunk Enterprise 8.0 High2023-11-16
CVE-2022-32755 IBM Security Directory Server 代码问题漏洞 — Security Directory Server 5.5 Medium2023-10-14
CVE-2022-4245 codehaus-plexus 代码问题漏洞 — RHINT Camel-K-1.10.1 4.3 Medium2023-09-25

CWE-91(XML注入(XPath盲注)) 是常见的弱点类别,本平台收录该类弱点关联的 50 条 CVE 漏洞。