关键漏洞信息 漏洞类型: XXE (XML External Entity) 漏洞 漏洞描述: ZUGFeRDInvoiceImporter 在使用 DocumentBuilder 时,默认启用了 XXE 功能,这使库容易受到 XXE 攻击。 参考资料: OWASP: XML External Entity (XXE) Processing) OWASP Cheat Sheet: XML External Entity Prevention 提议的解决方案: 1. 增加安全措施: 实施 OWASP Cheat Sheet 中的建议,以保护 ZUGFeRDInvoiceImporter。 2. 启用依赖注入: 重构库以允许注入安全的 DocumentBuilder 实例。 工作区建议: 问题在 org.verapdf/verapdf-xmp-core-jakarta 版本 v1.26.2 或更高版本中已修复。排除 v1.26.1 版本并使用更新版本(例如 v1.26.5)应可解决问题。 建议在构建流水线中加入 OWASP 步骤。 代码堆栈跟踪: 代码显示了外部实体处理的位置,表明问题在于 ZUGFeRDInvoiceImporter 在设置输入流时的行为。 修补建议: 避免解析外部实体、禁止 DOCTYPE 声明、启用安全处理、禁用 XInclude 以及关闭实体引用扩展。 概括: 将 PR #725 合并,并发布新版本可解决此漏洞。