Уязвимость функции mergeEnabledFeaturesFromPolicy() библиотеки проверки соответствия PDF-документов стандартам PDF/A veraPDF связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки
Использование рекомендаций:
Компенсирующие меры:
Рекомендуется включить безопасную обработку XML-файлов:
dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
или отключить все внешние сущности:
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
| Балл | 6.4 — средняя опасность |