CVE-2021-23792 en autofirma

[christiandavilakoobin]

Parece que el paquete de autofirma está utilizando la librería com.twelvemonkeys.imageio en su versión 3.6. Esa versión tiene un CVE crítico abierto desde hace 3 años.

[joaldere]

Parece que el paquete de autofirma está utilizando la librería com.twelvemonkeys.imageio en su versión 3.6. Esa versión tiene un CVE crítico abierto desde hace 3 años.

@christiandavilakoobin

Creo que esa CVE sólo afecta al paquete imageio-metadata de esa librería y Cliente @firma no lo usa. Si usa el paquete imageio-jpeg.

[christiandavilakoobin]

Aunque no lo use, está dentro del jar, por lo que las alertas aparecen igualmente, y existe una versión (3.7) que parece que ya no es vulnerable.

[christiandavilakoobin]

También está el CVE-2023-5072, en la librería org.json, el CVE-2020-8908 en la com.google.guava, el CVE-2021-27906 en la org.apache.pdfbox, el CVE-2023-44483 en la org.apache.santuario:xmlsec... Y no sigo. Pero mi empresa tiene que pasar el ENS, y tengo que silenciar todas estas alertas y tenerlas en mi sistema porque un programa público y que necesito tiene todo esto...

[quilosaq]

Por si te sirve, puedes generar un AutoFirma.jar sin vulnerabilidades conocidas a fecha de hoy a partir de este repositorio: https://github.com/quilosaq/clienteafirma-s