## lxml 6.1.0 紧急修复 XXE 漏洞，影响 iterparse() 与 ETCompatXMLParser
Python 核心 XML 处理库 lxml 发布 6.1.0 版本，紧急修复了一个可能的外部实体注入（XXE）漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中，此前其 `resolve_entities` 选项被错误地默认设置为 `True`，可能导致恶意 XML 文件在解析时访问或泄露系统敏感数据。此次更新将相关默认值修正，以消除安全风险。

此次版本升级从 5.4.0 跨越至 6.1.0，主要变更即为此关键安全修复。根据官方变更日志，该漏洞编号为 LP#2146291。除了安全修复，新版本还引入了其他功能，例如在 `lxml.html.defs` 中增加了对 HTML ARIA 无障碍属性的支持，并允许通过新的 `chunk_size` 参数配置 `iterparse()` 从类文件对象读取数据时的默认块大小。

对于依赖 lxml 库处理用户输入或不可信 XML 数据的 Python 应用和开发者而言，此漏洞构成直接威胁。虽然更新日志未披露漏洞是否已被利用，但 XXE 漏洞通常可被用于读取服务器文件、发起内部网络请求或导致拒绝服务。所有使用受影响版本（特别是 5.4.0 至 6.1.0 之前版本）的项目团队应立即评估升级至 6.1.0 版本的必要性，以修补此安全隐患。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: XXE, Python, 安全漏洞, 开源软件, XML解析
- **Credibility**: unverified
- **Published**: 2026-04-22 06:22:40
- **ID**: 75468
- **URL**: https://whisperx.ai/en/intel/75468