.. _vulnerabilityManagement_skip_registry_33x_CVE-2016-1000027:

CVE-2016-1000027
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Data: 2022-08-10

Severity: Critical

CVSS Score:  9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Riferimenti: `https://nvd.nist.gov/vuln/detail/CVE-2016-1000027 <https://nvd.nist.gov/vuln/detail/CVE-2016-1000027>`_

Libreria: org.springframework:spring-web <= 5.3.16

**Descrizione**

Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data. Depending on how the library is implemented within a product, this issue may or not occur, and authentication may be required. NOTE: the vendor's position is that untrusted data is not an intended use case. The product's behavior will not be changed because some users rely on deserialization of trusted data.

**Falso Positivo per GovWay**

La versione della libreria utilizzata in GovWay è superiore alla '5.3.16' quindi la segnalazione è considerabile un falso positivo. 

Dalle discussioni degli issues `4849 <https://github.com/jeremylong/DependencyCheck/issues/4849>`_ e `4558 <https://github.com/jeremylong/DependencyCheck/issues/4558>`_ del plugin OWASP Dependency-Check si possono comprendere i motivi della segnalazione: nelle versioni precedenti alla 6.x spring ha solamente deprecato l'utilizzo degli oggetti vulnerabili. Nel progetto GovWay comunque la classe oggetto della vulnerabilità (remoting-httpinvoker) non viene utilizzata.

Configuration File: `false-positive.xml <https://raw.githubusercontent.com/link-it/govway/master/mvn/dependencies/owasp/falsePositives/spring-web.xml>`_