XXE(XMLExternalEntity)は、XMLデータの解析に必要なWebアプリケーションの隙間を突いた攻撃手段で、その弱点を利用した攻撃にもなります。その他、XXE攻撃やXXEインジェクション、XML外部実体攻撃などとも呼ばれます。
この攻撃は、アプリケーションがXMLを処理する際のミスを利用する形で行われ、パース設定が不完全なアプリケーションが、XMLドキュメント内でURI参照を含む外部エンティティを処理することで生じます。XML文書はURI形式の文字列を用いてエンティティを定義し、その結果、XMLパーサーが該当URIにアクセスしデータを取り入れることが要求されます。
