Java OpenPDF:iText 2.1.7 XXE漏洞
目前我使用的是Birt报表运行时版本4.4.2,它内部使用的是iText版本-2.1.7 我将Birt report.rptdesign文件作为模板,并使用Birt report运行时引擎动态创建/呈现pdf,其中数据来自数据库,pdf将在web浏览器上呈现 根据以下链接,iText 2.1.7版本中存在XXE漏洞 为了解决上述问题,我计划用OpenPDF jar替换iText2.1.7JAR版本。 但看起来OpenPDF还使用了javax.xml.parsers.DocumentBuilderFactory类,这反过来又会导致XXE漏洞 是否有人可以在openPDF源代码中修复此漏洞并发布新版本 下面是Apache PDF box中修复XXE漏洞的有用链接Java OpenPDF:iText 2.1.7 XXE漏洞,java,pdf,reporting,birt,openpdf,Java,Pdf,Reporting,Birt,Openpdf,目前我使用的是Birt报表运行时版本4.4.2,它内部使用的是iText版本-2.1.7 我将Birt report.rptdesign文件作为模板,并使用Birt report运行时引擎动态创建/呈现pdf,其中数据来自数据库,pdf将在web浏览器上呈现 根据以下链接,iText 2.1.7版本中存在XXE漏洞 为了解决上述问题,我计划用OpenPDF jar替换iText2.1.7JAR版本。 但看起来OpenPDF还使用了javax.xml.parsers.DocumentBuilde
这在OpenPDF 1.0.5中已修复。因此,我建议使用iText 2.1.7的用户升级到最新版本的OpenPDF