关键漏洞信息 漏洞类型 XML External Entity (XXE) vulnerability 漏洞描述 存在一个XML外部实体(XXE)漏洞,在 类的 方法初始化 时,默认设置没有禁用DTDs或外部实体。该格式化器使用 断言处理 值。 应用仅在使用不受信任的XML输入并使用以下方法之一时才易受攻击: 从 的 从 的 影响 如果处理不受信任的XML输入时使用上述方法(例如,在测试环境中处理外部固定文件),攻击者可能: 通过 URIs(例如, ,应用程序配置文件)读取任意本地文件 通过HTTP/HTTPS URIs执行服务器端请求伪造(SSRF) 通过“十亿笑料”实体扩展攻击导致拒绝服务 缓解措施 已在3.18.0版本中弃用,并将在4.0版本中删除。受影响版本的用户应按以下顺序优先: 1. 用XMLUnit替换 2. 升级到3.27.7版本 3. 避免在不受信任的输入下使用 或 参考资料 CWE-611:不适当的XML外部实体限制 OWASP XXE预防 Cheat Sheet CVE ID CVE-2026-24400 弱点 CWE-611