## lxml 6.1.0 修复关键 XXE 漏洞，影响 iterparse() 与 ETCompatXMLParser
Python 生态中广泛使用的 XML 处理库 lxml 发布了 6.1.0 版本，其核心更新是修复了一个可能的外部实体注入（XXE）漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中，此前 `resolve_entities` 选项在这些组件中仍被默认设置为 `True`，为攻击者利用恶意 XML 文件发起攻击留下了隐患。

此次更新将 `resolve_entities` 的默认行为修正为更安全的状态，直接堵上了这一安全缺口。XXE 漏洞允许攻击者通过精心构造的 XML 文档读取服务器上的敏感文件、发起内部网络请求，甚至可能导致拒绝服务攻击。鉴于 lxml 在众多 Python Web 应用、数据解析工具和自动化脚本中的深度集成，此漏洞的潜在影响范围相当广泛。

对于依赖 lxml 进行 XML 处理的开发团队和运维人员而言，此次版本升级构成了一个明确且紧迫的安全指令。未能及时更新依赖的项目，其后台服务可能面临数据泄露与系统被渗透的风险。该修复也凸显了在供应链安全中，即使是被广泛信任且成熟的基础库，其默认配置也可能隐藏着长期未被察觉的安全陷阱。建议所有相关项目立即审查并升级至 lxml 6.1.0 或更高版本。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: XXE, Python, 供应链安全, 漏洞修复, 开源软件
- **Credibility**: unverified
- **Published**: 2026-04-22 03:22:39
- **ID**: 75271
- **URL**: https://whisperx.ai/en/intel/75271