在我们的项目 pom.xml 中,我们使用 fly-saucer-pdf-itext5 版本 9.1.22,它依赖于 itextpdf 版本 5.5.12。由于 OWASP 步骤抱怨与此安全问题相关的 itextpdf,我们的管道失败: https ://nvd.nist.gov/vuln/detail/CVE-2021-43113
但是这个问题提到
7.1.17 之前的 iText 中的 iTextPDF 允许通过在 GhostscriptHelper.java 中的 gs(又名 Ghostscript)命令行上错误处理的 CompareTool 文件名进行命令注入。
我猜这与这种依赖有关:itext7-core
我们不直接使用这个依赖,我也无法在 itextpdf 的依赖中找到它。
我从 fly-saucer-pdf-itext5 中排除了 itextpdf 5.5.12 并添加了最新版本 5.5.13.2,但问题仍然存在。
知道我应该在哪里寻找这种依赖关系以及如何解决这个安全问题吗?