lxml 6.1.0 修复关键 XXE 漏洞，影响 iterparse() 与 ETCompatXMLParser

lxml 库的最新版本 6.1.0 紧急修复了一个可能的外部实体注入（XXE）漏洞，该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中。这一安全更新直接针对一个长期存在的潜在风险点，即 `resolve_entities` 选项在默认情况下仍被设置为 `True`，可能允许攻击者通过恶意构造的 XML 文件读取服务器上的敏感文件或发起内部网络请求。对于依赖 lxml 处理不可信 XML 输入的应用，此漏洞构成了直接的安全威胁。

此次更新是 lxml 项目在 2026 年 4 月 17 日发布的 6.1.0 版本的核心内容。根据官方变更日志，该版本明确修复了编号为 LP#2146291 的问题。除了安全修复，新版本还引入了其他功能，例如将 HTML ARIA 可访问性属性添加到安全属性集中，并允许通过新的 `chunk_size` 参数配置 `iterparse()` 的默认读取块大小。然而，安全修复的紧迫性远超这些功能更新。

该漏洞的修复对所有使用受影响版本（6.0.4 及更早版本）的 Python 项目构成了强制性的升级压力。开发团队和安全运维人员需要立即评估其代码库，检查是否在未显式禁用实体解析的情况下使用了 `iterparse()` 或 `ETCompatXMLParser`。未能及时升级可能导致应用暴露在数据泄露或服务器端请求伪造（SSRF）的风险之下。这一事件再次凸显了在供应链依赖中，即使是被广泛信任的基础库，也可能隐藏着关键的安全盲点。