Le statistiche CVE su POI Apache indicano solo una singola vulnerabilità nota, che è di tipo "denial-of-service" ed è espanso su lì : vale a dire, appositamente predisposto il documento può far sì che il POI assegni tonnellate di memoria (cioè, più di quanto non faccia già normalmente). Se tale vulnerabilità è stata segnalata, significa che il comportamento del PDI sui documenti ostili è stato studiato; se non è stata segnalata la vulnerabilità di "local file inclusion", allora è probabile che non ce ne siano.
Se vuoi essere sicuro, puoi scaricare il codice sorgente e cercare le primitive di accesso ai file (riferimenti alle classi da System.IO
). In alternativa, è possibile eseguire l'analisi in una sandbox di Chroot in modo che i file locali che possono essere letti tramite il parser possano essere solo quelli dalla sandbox.
(Non garantisco nulla qui.) Almeno, sebbene il POI sia scritto in puro Java, non dovrebbe soffrire di vulnerabilità nell'esecuzione di codice in modalità remota attraverso buffer overflow o bug simili che, per definizione, sono prevenuti sistematicamente nella VM Tuttavia, vuoi comunque applicare alcune limitazioni rigorose sull'utilizzo della memoria VM.)