This page collects WhisperX intelligence signals tagged #XXE. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
A significant security testing gap has been identified in an open-source security tool: it currently lacks the ability to detect XML External Entity (XXE) injection vulnerabilities. This omission leaves a critical blind spot, particularly for API-focused security assessments where XML payloads are common in SOAP servic...
一个关键的安全漏洞(CVE-2026-25896)在广泛使用的 JavaScript XML 解析库 `fast-xml-parser` 中被披露。该漏洞允许攻击者通过精心构造的 DOCTYPE 实体名称,利用正则表达式注入来绕过实体编码,可能导致 XML 外部实体(XXE)攻击或服务端请求伪造(SSRF)。 漏洞核心在于库处理 DOCTYPE 声明中实体名称的逻辑缺陷。当实体名称包含点号(`.`)时,该字符在内部正则表达式匹配中被错误地解释为通配符,而非字面量。这使得攻击者能够注入正则表达式模式,从而匹配并替换非预期的文本,最终绕过旨在对危险实体进行编码的安全机制。该漏洞影响了 5.5.7 之前的所有版本。维护者 Natural...
A critical security flaw in an XML Document Parsing Engine allows unauthenticated attackers to read sensitive files directly from the server. The vulnerability, classified as an XML External Entity (XXE) injection, stems from an insecurely configured parser that processes Document Type Definitions (DTDs) and resolves e...
A critical XML External Entity (XXE) injection vulnerability has been identified in an XML Configuration Validation module, posing a severe risk of unauthorized data exfiltration. The flaw, with a CVSS score of 9.1, stems from an insecurely configured XML parser that processes user-supplied configuration files. This in...
Java 测试库 AssertJ Core 的一个关键组件被发现存在高危安全漏洞。该漏洞位于 `org.assertj.core.util.xml.XmlStringPrettyFormatter` 类中,其 `toXmlDocument(String)` 方法在初始化 `DocumentBuilderFactory` 时使用了默认配置,未能禁用 DTD 或外部实体解析。这使得当应用程序使用 `isXmlEqualTo(CharSequence)` 断言来处理不可信的 XML 输入时,可能遭受 XML 外部实体攻击。 具体而言,该漏洞(标识为 GHSA-rqfh-9r24-8c9r,别名 CVE-2026-24400)被归类为 C...
lxml 库发布 6.1.0 版本,核心更新是修复了一个存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中的潜在外部实体注入(XXE)漏洞。该漏洞编号为 LP#2146291,其根源在于这两个组件的 `resolve_entities` 选项仍被错误地设置为 `True`,可能导致恶意构造的 XML 文档被解析时,触发对不安全外部资源的访问或数据泄露。对于依赖 lxml 处理用户可控 XML 输入的应用,此漏洞构成直接的安全风险。 此次更新是 lxml 项目自 6.0.4 版本以来的首个次要版本发布。除了关键的安全修复,新版本还引入了两项功能:一是将 HTML ARIA 无障碍访问属性添加...
A critical security vulnerability in the popular Java testing library AssertJ has been patched, forcing a mandatory update for millions of projects. The flaw, tracked as CVE-2026-24400, is an XML External Entity (XXE) vulnerability that resides within the library's `isXmlEqualTo` assertion. This function, used to compa...
Python 生态中广泛使用的 XML 处理库 lxml 发布了 6.1.0 版本,其核心更新是修复了一个可能的外部实体注入(XXE)漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中,此前 `resolve_entities` 选项在这些组件中被错误地默认设置为 `True`,为恶意 XML 实体攻击留下了入口。 此次更新将 `resolve_entities` 的默认值修正为 `False`,从根本上堵住了这一安全风险。XXE 漏洞允许攻击者通过精心构造的 XML 文件读取服务器上的敏感文件,甚至可能发起内部网络探测或拒绝服务攻击。鉴于 lxml 在众多 Python We...
lxml 库的最新版本 6.1.0 紧急修复了一个可能的外部实体注入(XXE)漏洞,该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中。这一安全更新直接针对一个长期存在的潜在风险点,即 `resolve_entities` 选项在默认情况下仍被设置为 `True`,可能允许攻击者通过恶意构造的 XML 文件读取服务器上的敏感文件或发起内部网络请求。对于依赖 lxml 处理不可信 XML 输入的应用,此漏洞构成了直接的安全威胁。 此次更新是 lxml 项目在 2026 年 4 月 17 日发布的 6.1.0 版本的核心内容。根据官方变更日志,该版本明确修复了编号为 LP#2146291...
Python 生态中广泛使用的 XML 处理库 lxml 发布了 6.1.0 版本,其核心更新是修复了一个可能的外部实体注入(XXE)漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中,此前 `resolve_entities` 选项在这些组件中仍被默认设置为 `True`,为攻击者利用恶意 XML 文件发起攻击留下了隐患。 此次更新将 `resolve_entities` 的默认行为修正为更安全的状态,直接堵上了这一安全缺口。XXE 漏洞允许攻击者通过精心构造的 XML 文档读取服务器上的敏感文件、发起内部网络请求,甚至可能导致拒绝服务攻击。鉴于 lxml 在众多 Pytho...
Python 核心 XML 处理库 lxml 发布 6.1.0 版本,紧急修复了一个可能的外部实体注入(XXE)漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中,此前其 `resolve_entities` 选项被错误地默认设置为 `True`,可能导致恶意 XML 文件在解析时访问或泄露系统敏感数据。此次更新将相关默认值修正,以消除安全风险。 此次版本升级从 5.4.0 跨越至 6.1.0,主要变更即为此关键安全修复。根据官方变更日志,该漏洞编号为 LP#2146291。除了安全修复,新版本还引入了其他功能,例如在 `lxml.html.defs` 中增加了对 HTML A...
Python 生态中广泛使用的 XML/HTML 处理库 lxml 在最新 6.1.0 版本中,紧急修复了一个关键的安全漏洞。该漏洞存在于 `iterparse()` 函数和 `ETCompatXMLParser` 解析器中,可能导致外部实体注入攻击。攻击者通过构造恶意的 XML 文件,利用此漏洞可能读取服务器上的敏感文件,甚至发起内部网络探测。对于依赖 lxml 处理用户可控 XML 输入的应用,此漏洞构成了直接的安全威胁。 此次修复的核心是针对 `iterparse()` 和 `ETCompatXMLParser` 中 `resolve_entities` 选项的默认设置问题。在之前的版本中,该选项被错误地设置为 `True`...
A cluster of high-severity security vulnerabilities has been identified across three widely deployed Python packages, raising fresh concerns about supply-chain risk in open-source dependencies. The alerts, surfaced through GitHub's dependabot system on April 24, 2026, affect Ray, lxml, and sqlitedict—all packages with ...