PT-2026-34232 · Pypi · Lxml

Brubbish

·

Publicado

2026-04-21

·

Atualizado

2026-06-03

·

CVE-2026-41066

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Name of the Vulnerable Software and Affected Versions lxml versões anteriores a 6.1.0
Description O uso da configuração padrão com a variável resolve entities definida como True permite que entradas XML não confiáveis leiam arquivos locais. Este problema afeta as funções iterparse() e ETCompatXMLParser().
Recommendations Atualizar para a versão 6.1.0. Como medida paliativa temporária, defina explicitamente a variável resolve entities como internal ou False para desativar o acesso a arquivos locais.

Exploit

Correção

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

CVE-2026-41066
ECHO-E83F-9E30-4171
GHSA-VFMQ-68HX-4JFW
OESA-2026-2008
OESA-2026-2009
OESA-2026-2010
OESA-2026-2011
OESA-2026-2012
OPENSUSE-SU-2026:10596-1
PYSEC-2026-87

Produtos afetados

Lxml