国内80sec安全团队近期发布了一个XML解析的漏洞警告，尽管该漏洞类型较为古老，但是目前还是有很多的应用受影响，问题出在XML解析的时候外部实体带来的问题，通过构造特殊的XML格式文件，如果应用尝试解析就会导致问题，在很多的场景中譬如rss订阅和xml文件解析都会存在问题。

由于该漏洞与xml解析底层的细节有关，所以对于PHP来讲，一些DOM和simplexml函数会受影响，但是使用expat的xml_parse函数则不受影响，80sec称已经在多个互联网公司的应用中发现了问题，并且问题将通过WooYun漏洞平台提交给厂商

80sec随后证明所有版本PhpMyadmin也受此问题影响，在普通权限登录进PhpMyadmin之后即可利用此漏洞读取服务器上的文件，目前该问题已经反馈给PhpMyadmin官方团队，并且已经确认，问题证明截图如下：



预警链接：http://www.80sec.com/xml-entity-injection.html 
漏洞链接：http://www.wooyun.org/bugs/wooyun-2010-03185