漏洞概述 漏洞标题: 和 的默认配置允许 XXE 访问本地文件 CVE ID:CVE-2024-41096 CVSS 评分:7.5 / 10(高危) 漏洞类型:XML 外部实体注入(XXE) 攻击向量:网络 影响范围: 库中 和 方法在默认配置下( )允许未受信任的 XML 输入读取本地文件。 --- 影响范围 受影响版本: < 6.1 修复版本: 6.1.0 --- 修复方案 补丁说明: 6.1 将默认值改为 ,从而禁止本地文件访问。 临时规避措施:显式设置 选项为 或 ,以禁用本地文件访问。 --- 参考链接 原始报告:https://bugs.launchpad.net/lxml/+bug/2146291 GitHub 安全公告:GHSA-fmq-68hx-4jfw --- 其他信息 CWE ID:CWE-611 发布者:scoder 发布时间:last week(截图时) 平台:GitHub Advisory Database