## lxml 6.1.0 修复关键 XXE 漏洞，影响 iterparse() 与 ETCompatXMLParser
Python 生态中广泛使用的 XML 处理库 lxml 发布了 6.1.0 版本，其核心更新是修复了一个可能的外部实体注入（XXE）漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中，此前 `resolve_entities` 选项在这些组件中被错误地默认设置为 `True`，为恶意 XML 实体攻击留下了入口。

此次更新将 `resolve_entities` 的默认值修正为 `False`，从根本上堵住了这一安全风险。XXE 漏洞允许攻击者通过精心构造的 XML 文件读取服务器上的敏感文件，甚至可能发起内部网络探测或拒绝服务攻击。鉴于 lxml 在众多 Python Web 应用、数据解析工具和自动化脚本中的深度集成，此漏洞的潜在影响范围极广。

虽然官方已发布补丁，但大量依赖旧版本 lxml 的项目和系统面临安全升级压力。开发团队需要立即检查其依赖项，将 lxml 升级至 6.1.0 或更高版本，并审查所有使用 `iterparse()` 或自定义 XML 解析器的代码路径。此次修复凸显了在供应链安全中，即使是被广泛信任的基础库，其默认配置也可能成为隐蔽的攻击面。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: XXE, Python, 供应链安全, 漏洞修复, 开源软件
- **Credibility**: unverified
- **Published**: 2026-04-21 23:23:09
- **ID**: 74980
- **URL**: https://whisperx.ai/en/intel/74980