CWE-91

Overview

CWE ID
91

CWE Name
XML Injection (aka Blind XPath Injection)

CWE Abstraction
Base

CWE structure
Simple

CWE Status
Draft

Description

The software does not properly neutralize special elements that are used in XML, allowing attackers to modify the syntax, content, or commands of the XML before it is processed by an end system.

Extended Description

Within XML, special elements could include reserved words or characters such as "<", ">", """, and "&", which could then be used to add new data or modify XML syntax.

Related CWEs

CWE ID	View ID	Nature	Ordinal
74	1000	ChildOf	Primary
74	1003	ChildOf	Primary

Related CVEs

CVE
CVE-2022-22834
CVE-2020-0646
CVE-2021-38948
CVE-2021-22524
CVE-2020-4774
CVE-2021-2322
CVE-2020-29599
CVE-2021-21019
CVE-2021-21025
CVE-2020-29128
CVE-2017-15685
CVE-2017-15683
CVE-2018-2477
CVE-2018-16785
CVE-2013-7429
CVE-2015-3931
CVE-2015-3932
CVE-2017-5654
CVE-2016-5697
CVE-2016-2932
CVE-2021-31347
CVE-2018-19277
CVE-2019-14277
CVE-2022-25356
CVE-2021-39181
CVE-2021-36028
CVE-2021-36033
CVE-2021-36020
CVE-2021-36022
CVE-2021-32758
CVE-2018-1000632
CVE-2021-36359
CVE-2021-37154
CVE-2019-17626
CVE-2020-6271
CVE-2020-6260
CVE-2020-11535
CVE-2015-6970
CVE-2014-1409
CVE-2018-1721
CVE-2019-8158
CVE-2019-17323
CVE-2013-4857
CVE-2019-0370
CVE-2019-4539
CVE-2017-10603
CVE-2020-25216
CVE-2019-9892
CVE-2019-16941
CVE-2020-8479
CVE-2019-1010017
CVE-2019-0268
CVE-2018-16784
CVE-2008-5024
CVE-2018-1000526
CVE-2016-6272
CVE-2017-1000452
CVE-2022-20729
CVE-2022-22784
CVE-2022-33739
CVE-2022-34253
CVE-2022-22244
CVE-2022-22243
CVE-2022-27233
CVE-2022-35259
CVE-2022-46464
CVE-2021-4140
CVE-2023-22485
CVE-2023-27253
CVE-2023-22247
CVE-2019-25137
CVE-2022-2458
CVE-2023-38207
CVE-2022-4245
CVE-2022-46751
CVE-2022-32755
CVE-2023-46214
CVE-2023-27328
CVE-2023-40612
CVE-2023-29289
CVE-2023-32173
CVE-2024-28109
CVE-2024-28109
CVE-2024-42374