В настоящее время я использую среду выполнения Birt Report 4.4.2, и она внутренне использует версию iText - 2.1.7 У меня есть файлы Birt Report .rptdesign в качестве шаблона и я использую систему времени выполнения Birt Report для динамического создания / рендеринга PDF-файлов, откуда данные поступают из базы данных. и pdf будет отображаться в веб-браузере.
В соответствии с приведенной ниже ссылкой существует уязвимость XXE в версии iText 2.1.7
https://www.compass-security.com/fileadmin/Datein/Research/Advisories/CSNC-2017-017_itext_xml_external_entity_attack.txt
Чтобы исправить вышеупомянутую проблему, я планировал заменить версию jar iText 2.1.7 на jar OpenPDF. Но похоже, что OpenPDF также использует классы javax. xml .parsers.DocumentBuilderFactory, которые, в свою очередь, могут дать уязвимость XXE
Может кто-нибудь исправить эту уязвимость в исходном коде openPDF и выпустить новую версию?
Ниже приведены полезные ссылки, в которых Apache PDF box исправил уязвимость XXE
https://github.com/apache/pdfbox/commit/be36ef01842885b556a4e7b40b5e2e8e7b1d2816#diff -7865264c984db3c9a6ac8471b0a4d414
Это было исправлено в OpenPDF 1.0.5. Поэтому я рекомендую людям, использующим iText 2.1.7, обновить до последней версии OpenPDF.
https://github.com/LibrePDF/OpenPDF/releases/tag/1.0.5