@MartinH Hat paperless einen CVE Prozess?
Gefundene Schwachstellen bedeuten erstmal gar nix ohne Einordnung der Entwickler. Unser Produkt hat auch 30+ kritische Schwachstellen die komplett Unfug sind. Beispiel: Eine Schwachstelle in einer Bibliothek erlaubt unauthentifizierzrn Systemzugriff über WebSocket. Wir nutzen zwar die Lib, aber keine Websockets -> Kritische CVE mit nem Score von 9.8 hat nen Environmental Score von 0. Ich will die nicht schützen, aber Kontext ist zwingend nötig hier.