CVE-2016-2175, CVE-2018-8036, CVE-2018-11797

Data: 2025-03-27

Severity: High

CVSS Score: 7.8 (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

Riferimenti: - https://nvd.nist.gov/vuln/detail/CVE-2016-2175 - https://nvd.nist.gov/vuln/detail/CVE-2018-8036 - https://nvd.nist.gov/vuln/detail/CVE-2018-11797

Libreria: com.github.dhorions:boxable

Descrizione

CVE-2016-2175: Apache PDFBox before 1.8.12 and 2.x before 2.0.1 does not properly initialize the XML parsers, which allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted PDF.

CVE-2018-8036: In Apache PDFBox 1.8.0 to 1.8.14 and 2.0.0RC1 to 2.0.10, a carefully crafted (or fuzzed) file can trigger an infinite loop which leads to an out of memory exception in Apache PDFBox’s AFMParser.

CVE-2018-11797: In Apache PDFBox 1.8.0 to 1.8.15 and 2.0.0RC1 to 2.0.11, a carefully crafted PDF file can trigger an extremely long running computation when parsing the page tree.

Falso Positivo per GovWay

Le tre vulnerabilità vengono segnalate sulla libreria “boxable-1.8.2.jar” ma riguardano esclusivamente versioni obsolete di Apache PDFBox (1.x e 2.x precedenti alla 2.0.12). Il dependency-check produce un falso positivo poiché interpreta erroneamente il numero di versione di Boxable (1.8.2) come versione di PDFBox, effettuando un match sul CPE “cpe:2.3:a:apache:pdfbox:1.8.2” che corrisponde alla versione vulnerabile di PDFBox 1.8.x.

In GovWay la libreria Boxable è utilizzata unicamente per la generazione di tabelle all’interno di documenti PDF (classe “org.openspcoop2.web.monitor.core.report.Templates”) e le sue dipendenze transitive verso PDFBox sono completamente escluse nel POM (“exclusion :”). La versione di Apache PDFBox effettivamente utilizzata in GovWay è la 3.x, dichiarata come dipendenza diretta, che non rientra nei range vulnerabili di nessuna delle tre CVE:

  • CVE-2016-2175: colpisce PDFBox < 1.8.12 e 2.x < 2.0.1

  • CVE-2018-8036: colpisce PDFBox 1.8.0–1.8.14 e 2.0.0RC1–2.0.10

  • CVE-2018-11797: colpisce PDFBox 1.8.0–1.8.15 e 2.0.0RC1–2.0.11

Configuration File: false-positive.xml