En el medio de una prueba de lápiz de aplicación web. Desde el lado del cliente, puedo controlar una variable llamada plantilla (a una URL que finalmente produce una versión en pdf de la página). Esta variable contiene lo que parece ser el esquema del pdf que se creará. De particular interés es una parte de este <%=myfield['contents']%> .
Después de un examen, esta parece ser una plantilla princexml. Si puedo controlar la plantilla utilizada por princexml, ¿hay un camino para la explotación aquí? Ya probé xxe, pero no parecía funcionar (la documentación parece indicar que se debe habilitar a través de un interruptor de línea de comandos).