漏洞总结:CVE-2026-28889 1. 漏洞概述 漏洞名称: CVE-2026-28889 漏洞类型: XML 外部实体注入 (XXE - XML External Entity Injection) 描述: 该漏洞存在于 (Erlang SAML) 库中。由于在解析 XML 数据(如 SAML 响应或断言)时,默认允许 XML 实体扩展(Entity Expansion),攻击者可以构造恶意的 XML 请求。 危害: 文件读取: 攻击者可读取服务器本地文件(如 )。 SSRF: 可发起服务器端请求伪造。 拒绝服务 (DoS): 通过实体膨胀攻击导致服务器资源耗尽。 2. 影响范围 受影响组件: 库。 受影响文件: (SAML 绑定处理) (SAML 服务提供者逻辑) (工具函数,如加载元数据) 受影响版本: 修复前的版本(PR 旨在修复此问题)。 3. 修复方案 在调用 Erlang 标准库 解析 XML 数据时,显式设置 选项为 ,以禁用 XML 实体解析。 关键修复代码片段 (diff): 4. POC 及测试代码** 截图中包含完整的测试套件 ,用于验证漏洞是否存在及修复是否生效。以下是关键测试用例代码: