En primer lugar, lo siento si estoy haciendo una pregunta trivial.
Por lo que sé, XML se utiliza para representar estructuras de documentos. ¿Los sitios completamente estáticos que no aceptan entradas del usuario pueden ser vulnerables a XML, DTD y ataques de entidades?
Si sucede, ¿en qué contexto es posible?
Por lo general, la XXE se ve en áreas de un sitio que aceptan comentarios del usuario. Si por sitio estático, te refieres a un sitio que responde únicamente a las solicitudes HTTP GET de documentos alojados en un servidor, entonces no hay realmente ningún lugar para que ocurra XXE.
El único escenario que podría pensar sería si el sitio procesara una sección de la URL o los encabezados HTTP e incluyera eso como una entidad en una solicitud a un servicio web XML, pero en ese momento su sitio no es realmente ¡estático!