Usar as funções de análise do módulo defusedxml para proteger contra XMLs com dados maliciosos

[IsraelSantos-code]

Como a documentação do módulo padrão de manipulação de XMLs do Python indica, este módulo não é seguro contra XMLs contendo dados maliciosos que exploram vulnerabilidades em recursos pouco usados do XML, e de seus parsers, para atacar o sistema.

Por isso o módulo defusedxml foi criado para substituir as funções de análise/parse de XML da biblioteca padrão por versões seguras contra esses tipos de ataque conhecidos. Logo, gostaria de sugerir a adição do módulo defusedxml como dependência desse projeto, e o uso de suas funções para analisar XMLs.

E a alteração do código para adotar o defusedxml no caso desse projeto é bem simples, basta substituir

import xml.etree.ElementTree as ET

por

import defusedxml.ElementTree as ET

onde ElementTree é usado (danfe.py e dacce.py).

---

Nota: O módulo defusedxml não é um substituto para o módulo XML padrão, apenas fornece as funções e classes relacionadas ao carregamento e análise de XMLs, que é onde as vulnerabilidades podem ser abusadas. Para todos os outros recursos, use as classes, funções, e constantes do módulo padrão.

Por exemplo, a linha:

from xml.etree.ElementTree import Element

em dacte.py permaneceria inalterada.

[antoniospneto]

@IsraelSantos-code

Vamos avaliar a sua sugestão.
Obrigado por chamar a atenção para a vulnerabilidade presente.

[antoniospneto]

@IsraelSantos-code

Acredito que não seja adequado tratar isso diretamente na biblioteca BrazilFiscalReport, pois essa responsabilidade pode ser delegada à camada onde a biblioteca está sendo utilizada. Dessa forma, quem integra a biblioteca tem a flexibilidade de decidir se aplica ou não esse tipo de tratamento.

Em ambientes controlados, essa camada de segurança pode não ser necessária, enquanto em casos que envolvem recebimento de XMLs externos, o tratamento é realmente importante. Porém, considero mais apropriado deixar essa decisão e implementação para quem está utilizando a biblioteca, garantindo maior modularidade e adequação às diferentes necessidades.

De qualquer forma, acho interessante mencionar essa recomendação na documentação da biblioteca, para orientar os usuários sobre a importância de lidar com XMLs externos de forma segura.