В настоящее время я использую среду выполнения Birt Report версии 4.4.2, а для внутреннего использования она использует версию iText — 2.1.7. У меня есть файлы .rptdesign отчета Birt в качестве шаблона, и я использую механизм среды выполнения Birt Report для динамического создания/рендеринга PDF-файлов, где данные поступают из базы данных, а PDF-файл будет быть отображены в веб-браузере.
Согласно ссылке ниже, в версии iText 2.1.7 есть уязвимость XXE.
Чтобы исправить вышеупомянутую проблему, я планировал заменить версию jar iText 2.1.7 на jar OpenPDF. Но похоже, что OpenPDF также использует классы javax.xml.parsers.DocumentBuilderFactory, которые, в свою очередь, могут дать XXE-уязвимость.
Может ли кто-нибудь исправить эту уязвимость в исходном коде openPDF и выпустить новую версию?
Ниже приведены полезные ссылки, где в Apache PDF box исправлена уязвимость XXE.
