lxml: Default configuration of iterparse() and ETCompatXMLParser() allows XXE to local files — CVE-2026-41066
GitHub · GitHub · CVE-2026-41066
ID
CVE-2026-41066
CVE-2026-41066
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
high
high
CVSS
7.5
7.5
EPSS
0.0006
0.0006
Zusammenfassung
### Impact Using either of the two parsers in the default configuration (with `resolve_entities=True`) allows untrusted XML input to read local files. ### Patches lxml 6.1.0 changes the default to `resolve_entities='internal'`, thus disallowing local file access by default. ### Workarounds Setting the `resolve_entities` option explicitly to `resolve_entities='internal'` or `resolve_entities=False` disables the…
Produkt
pip: lxml
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.