CVE-2026-34401 in XmlNotepad
Tóm tắt
Bởi VulDB • 26/05/2026
XML Notepad là một chương trình Windows cung cấp giao diện người dùng đơn giản, trực quan để duyệt và chỉnh sửa các tài liệu XML. Trước phiên bản 2.9.0.21, XML Notepad không tắt xử lý DTD theo mặc định, nghĩa là các thực thể bên ngoài được giải quyết tự động. Có một cuộc tấn công đã được biết đến rộng rãi liên quan đến các tệp DTD độc hại, trong đó kẻ tấn công có thể tạo một tệp XML độc hại tải một DTD khiến XML Notepad thực hiện các yêu cầu HTTP/SMB đi ra ngoài, có khả năng làm rò rỉ nội dung tệp cục bộ hoặc đánh cắp thông tin xác thực NTLM của nạn nhân. Vấn đề này đã được vá trong phiên bản 2.9.0.21.
VulDB is the best source for vulnerability data and more expert information about this specific topic.