.. _vulnerabilityManagement_skip_registry_34x_CVE-2016-2175:

CVE-2016-2175, CVE-2018-8036, CVE-2018-11797
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Data: 2025-03-27

Severity: High

CVSS Score:  7.8 (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

Riferimenti: 
- `https://nvd.nist.gov/vuln/detail/CVE-2016-2175 <https://nvd.nist.gov/vuln/detail/CVE-2016-2175>`_
- `https://nvd.nist.gov/vuln/detail/CVE-2018-8036 <https://nvd.nist.gov/vuln/detail/CVE-2018-8036>`_
- `https://nvd.nist.gov/vuln/detail/CVE-2018-11797 <https://nvd.nist.gov/vuln/detail/CVE-2018-11797>`_

Libreria: com.github.dhorions:boxable

**Descrizione**

CVE-2016-2175: Apache PDFBox before 1.8.12 and 2.x before 2.0.1 does not properly initialize the XML parsers, which allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted PDF.

CVE-2018-8036: In Apache PDFBox 1.8.0 to 1.8.14 and 2.0.0RC1 to 2.0.10, a carefully crafted (or fuzzed) file can trigger an infinite loop which leads to an out of memory exception in Apache PDFBox's AFMParser.

CVE-2018-11797: In Apache PDFBox 1.8.0 to 1.8.15 and 2.0.0RC1 to 2.0.11, a carefully crafted PDF file can trigger an extremely long running computation when parsing the page tree.

**Falso Positivo per GovWay**

Le tre vulnerabilità vengono segnalate sulla libreria 'boxable-1.8.2.jar' ma riguardano esclusivamente versioni obsolete di Apache PDFBox (1.x e 2.x precedenti alla 2.0.12). Il dependency-check produce un falso positivo poiché interpreta erroneamente il numero di versione di Boxable (1.8.2) come versione di PDFBox, effettuando un match sul CPE 'cpe:2.3:a:apache:pdfbox:1.8.2' che corrisponde alla versione vulnerabile di PDFBox 1.8.x.

In GovWay la libreria Boxable è utilizzata unicamente per la generazione di tabelle all'interno di documenti PDF (classe 'org.openspcoop2.web.monitor.core.report.Templates') e le sue dipendenze transitive verso PDFBox sono completamente escluse nel POM ('exclusion *:*'). La versione di Apache PDFBox effettivamente utilizzata in GovWay è la 3.x, dichiarata come dipendenza diretta, che non rientra nei range vulnerabili di nessuna delle tre CVE:

- CVE-2016-2175: colpisce PDFBox < 1.8.12 e 2.x < 2.0.1
- CVE-2018-8036: colpisce PDFBox 1.8.0–1.8.14 e 2.0.0RC1–2.0.10
- CVE-2018-11797: colpisce PDFBox 1.8.0–1.8.15 e 2.0.0RC1–2.0.11

Configuration File: `false-positive.xml <https://raw.githubusercontent.com/link-it/govway/3.4.x/mvn/dependencies/owasp/falsePositives/Boxable.xml>`_