つみかさね

CVE-2026-41066

High(7.5)

CVE-2026-41066 — lxml デフォルト設定でのXXE脆弱性

公開日: 2026-04-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
lxmllxml< 6.1.0

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1lxmlを利用しているか確認する(pip list | grep lxml)
  2. 2外部からのXML入力を処理しているか確認する
  3. 3lxml 6.1.0以降へアップデートする
  4. 4アップデートが困難な場合はXMLパーサーで外部エンティティ解決を無効化する

影響対象

lxml利用者

補足

  • -lxmlは多くのPythonプロジェクトの依存関係に含まれるため、間接的に利用している場合もあります
CVElxmlXXEPythonPyPI

概要

PythonのXML処理ライブラリ「lxml」のデフォルト設定において、iterparse() および ETCompatXMLParser() がXML External Entity(XXE)によるローカルファイルの読み取りを許可する脆弱性が存在します。外部からのXML入力を処理している場合、サーバー上のファイル内容が漏洩する可能性があります。

CVSSベクトル

項目
スコア7.5(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
lxmllxml< 6.1.0

修正バージョンと回避策

  • 修正バージョン: lxml 6.1.0
  • アップデートが困難な場合は、XMLパーサーの設定で外部エンティティの解決を無効化してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GHSA:https://github.com/lxml/lxml/security/advisories/GHSA-vfmq-68hx-4jfw
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41066
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。