JVNDB-2026-013539

lxmlにおけるXML 外部エンティティの脆弱性

lxmlはPython言語でXMLおよびHTMLを処理するためのライブラリです。6.1.0より前のバージョンでは、デフォルト設定（resolve_entities=True）でいずれかの2つのパーサーを使用すると、信頼されていないXML入力によりローカルファイルを読み取ることが可能でした。resolve_entitiesオプションを明示的にresolve_entities='internal'またはresolve_entities=Falseに設定すると、ローカルファイルへのアクセスが無効になります。この脆弱性は6.1.0で修正されました。

lxml

• lxml 6.1.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Default configuration of iterparse() and ETCompatXMLParser() allows XXE to local files  Advisory  lxml/lxml  GitHub

launchpad

• Launchpad : Bug #2146291 “Default local-file XXE / LFI in `etree.iterparse()...” : Bugs : lxml

1. XML 外部エンティティ参照の不適切な制限(CWE-611) [その他]

1. CVE-2026-41066

1. National Vulnerability Database (NVD) : CVE-2026-41066

• [2026年04月30日]
    掲載