AssertJ предоставляет Fluent-тестирование для Java и Java Virtual Machine (JVM). Начиная с версии 1.4.0 и до версии 3.27.7, XML-внешняя сущ…

AssertJ предоставляет Fluent-тестирование для Java и Java Virtual Machine (JVM). Начиная с версии 1.4.0 и до версии 3.27.7, XML-внешняя сущность (XXE) существует уязвимость XML External Entity (XXE) в `org.assertj.core.util.util.xml.XmlStringPrettyFormatter`: метод `toXmlDocument(String)` инициализирует `DocumentBuilderFactory` с параметрами по умолчанию, не отключая DTD или внешних объектов. Этот форматтер используется в утверждении `isXmlEqualTo(CharSequence)` для значений `isXmlEqualTo(CharSequence)` для значений `isXmlEqualTo(CharSequence). Приложение уязвимо только тогда, когда оно использует ненадежный XML-вход с либо `isXmlEqualTo(CharSequence)` от `org.assertj.core.ap.a.AbstractCharSequenceAssert` или `xmlPrettyFormat(String)` от `org.assertj.core.util.xml.XmlStringPrettyFormatt`. Если ненадежный XML-вход обрабатывается тоном этих методов, злоумышленник может читать произвольные локальные файлы через «Файл://` URIs» (например, `/etc/passwd`, файлы конфигурации приложения); выполнить Подделку запроса на сервер (SSRF) через HTTP/HTTPS URIs и/или вызвать отказ в обслуживании через атаки расширения сущности «Миллиард Смеется». `isXmlEqualTo(CharSequence)` был устаречен в пользу XMLUnit в версии 3.18.0 и будет удален в версии 4.0. Пользователи затронутых версий должны в порядке предпочтения: заменить `isXmlEqualTo(CharSequence)` на XMLUnit, обновиться до версии 3.27.7 или избегать использования `isXmlEqualTo(CharSequence)` или `XmlStringPrettyFormatter` с ненадежным вводом. `XmlStringPrettyFormatter` исторически считался утилитарным для `isXmlEqualTo(CharSequence)`, а не функцией для пользователей AssertJ, поэтому он устарел в версии 3.27.7 и удален в версии 4.0 без замены.