CVE-2026-34401 in XmlNotepad
Riassunto
di VulDB • 15/06/2026
XML Notepad è un programma per Windows che offre un'interfaccia utente semplice e intuitiva per la navigazione e la modifica di documenti XML. Prima della versione 2.9.0.21, XML Notepad non disabilita l'elaborazione DTD per impostazione predefinita, il che significa che le entità esterne vengono risolte automaticamente. Esiste un attacco ben noto legato a file DTD dannosi, in cui un attaccante crea un file XML malevolo che carica un DTD causando a XML Notepad di effettuare richieste HTTP/SMB in uscita, potenzialmente esponendo i contenuti dei file locali o catturando le credenziali NTLM della vittima. Questo problema è stato risolto nella versione 2.9.0.21.
Once again VulDB remains the best source for vulnerability data.