lxml - CVE-2026-41066

Date de publication : 27/04/2026

Il s'agit d'une vulnérabilité de type XXE dans les parseurs iterparse() et ETCompatXMLParser de lxml, dont la configuration par défaut (resolve_entities=True) permet la résolution d'entités externes.

lxml est une bibliothèque Python destinée au traitement et à l'analyse de documents XML et HTML. Elle constitue l'interface Python vers les bibliothèques C libxml2 et libxslt, et est largement utilisée dans les applications web, les pipelines de traitement de données et les outils d'intégration de systèmes.

Un attaquant peut soumettre un document XML forgé contenant une entité pointant vers un fichier local du serveur, dont le contenu est alors inclus dans la sortie du parseur.

Elle permet une atteinte à la confidentialité des données par lecture arbitraire de fichiers locaux sur le serveur hôte.

CVE-2026-41066

[Score CVSS v3.1 : 7.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-611 : Improper Restriction of XML External Entity Reference

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

lxml versions antérieures à 6.1.0

Contournement provisoire

Définir explicitement resolve_entities='internal' ou resolve_entities=False dans tous les appels aux parseurs iterparse() et ETCompatXMLParser

Solutions ou recommandations

lxml version 6.1.0 et supérieures