## lxml 6.1.0 修复关键 XXE 漏洞，影响 iterparse() 与 ETCompatXMLParser
lxml 库发布 6.1.0 版本，核心更新是修复了一个存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中的潜在外部实体注入（XXE）漏洞。该漏洞编号为 LP#2146291，其根源在于这两个组件的 `resolve_entities` 选项仍被错误地设置为 `True`，可能导致恶意构造的 XML 文档被解析时，触发对不安全外部资源的访问或数据泄露。对于依赖 lxml 处理用户可控 XML 输入的应用，此漏洞构成直接的安全风险。

此次更新是 lxml 项目自 6.0.4 版本以来的首个次要版本发布。除了关键的安全修复，新版本还引入了两项功能：一是将 HTML ARIA 无障碍访问属性添加到了 `lxml.html.defs` 的安全属性集中，使得 `lxml_html_clean` 能够保留这些属性；二是为 `iterparse()` 函数新增了可配置的 `chunk_size` 参数，允许开发者调整从类文件对象读取数据时的默认块大小。

对于使用 Python lxml 库进行 XML 解析和 HTML 清理的开发者与项目而言，此次更新具有强制性。所有在生产环境中使用 `iterparse()` 或 `ETCompatXMLParser` 的代码，尤其是处理来自网络或不可信来源的 XML 数据时，应立即评估并升级至 6.1.0 版本以缓解 XXE 风险。延迟升级可能使相关应用暴露在数据窃取或服务器端请求伪造等攻击之下。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: XXE, Python, Security Vulnerability, XML Parsing, Open Source
- **Credibility**: unverified
- **Published**: 2026-04-19 03:22:33
- **ID**: 70941
- **URL**: https://whisperx.ai/en/intel/70941