Apache XML-RPC HowTo FIX漏洞CVE-2016-5002

Question

目前，我正在使用xmlrpc进行开发，并且由于存在多个已知漏洞，因此我正在尝试更新该库，并且我发现该项目尚未维护，因为它是2010年的最新版本3.1.2。

带有CVE编号的漏洞列表：

• CVE-2016-5002 -通过在ws-xmlrpc中加载外部DTD进行SSRF攻击。
• CVE-2016-5003 -通过ws-xmlrpc中可序列化的数据类型对不可信数据进行反序列化。
• CVE-2016-5004 -通过ws-xmlrpc中的Content-Encoding标头进行DoS攻击。

有官方解决方案吗？我不想手动修复代码。

参考文献：

https://ws.apache.org/xmlrpc/changes-report.html

https://mvnrepository.com/artifact/org.apache.xmlrpc/xmlrpc-client

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5002