Como desativar a expansão de entidade no Analisador de fluxo de XMLDocument2 [Atualizado na Central de segurança 1.5]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Se as personalizações não exigirem expansão de entidade, use a propriedade glide.stax.allow_entity_resolution para desabilitar completamente a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.

    Desabilite a expansão de entidade em sua instância para proteger sua instância contra ataques, como capacidade de ler arquivos do sistema e negação de serviço. Use a propriedade do sistema para proibir que entidades XML sejam expandidas durante a análise pelo analisador de fluxo (XMLDocument2).

    Defina glide.stax.allow_entity_resolution propriedade do sistema para falso para desabilitar a expansão de entidade em sua instância. Se esta propriedade não aparecer na tabela Propriedades do sistema [sys_properties], o valor padrão será verdadeiro . Crie o registro de propriedade e defina o valor como falso para mudar seu valor.

    Pré-requisitos

    Antes de definir esta propriedade:
    • Defina as propriedades glide.xml.entity.whitelist.enabled e glide.stax.whitelist_enabled como verdadeiras. Para aprender mais, consulte e .
    • Defina uma lista de FQDN delimitada por vírgulas na propriedade glide.xml.entity.whitelist, que são os únicos URLs que podem ser acessados usando o a propriedade de processamento de entidade de XML. Para saber mais, consulte .
    Aviso:
    Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.stax.allow_entity_resolution
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Validação, limpeza e codificação
    Finalidade Este controle de correção deve ser habilitado para defesa contra um ataque de expansão de entidade XML/Billion laughs.
    Valor recomendado falso
    Valor padrão verdadeiro
    Impacto funcional Se a personalização estiver usando expansão de entidade, o ServiceNow AI Platform pode bloquear o processamento adicional.
    Risco à segurança (Crítico) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema.
    Solução alternativa Se a personalização exigir expansão da entidade, defina esta propriedade como verdadeira e siga as etapas documentadas na .

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.

    Para obter mais informações sobre os recursos OWASp, consulte OWASp.