Open christiandavilakoobin opened 2 weeks ago
joaldere
commented
2 weeks ago Parece que el paquete de autofirma está utilizando la librería com.twelvemonkeys.imageio en su versión 3.6. Esa versión tiene un CVE crítico abierto desde hace 3 años.
@christiandavilakoobin
Creo que esa CVE sólo afecta al paquete imageio-metadata de esa librería y Cliente @firma no lo usa. Si usa el paquete imageio-jpeg.
christiandavilakoobin
commented
2 weeks ago Aunque no lo use, está dentro del jar, por lo que las alertas aparecen igualmente, y existe una versión (3.7) que parece que ya no es vulnerable.
christiandavilakoobin
commented
1 week ago También está el CVE-2023-5072, en la librería org.json, el CVE-2020-8908 en la com.google.guava, el CVE-2021-27906 en la org.apache.pdfbox, el CVE-2023-44483 en la org.apache.santuario:xmlsec... Y no sigo. Pero mi empresa tiene que pasar el ENS, y tengo que silenciar todas estas alertas y tenerlas en mi sistema porque un programa público y que necesito tiene todo esto...
Parece que el paquete de autofirma está utilizando la librería com.twelvemonkeys.imageio en su versión 3.6. Esa versión tiene un CVE crítico abierto desde hace 3 años.