ID CVE-2017-12626
Summary Apache POI in versions prior to release 3.17 are vulnerable to Denial of Service Attacks: 1) Infinite Loops while parsing crafted WMF, EMF, MSG and macros (POI bugs 61338 and 61294), and 2) Out of Memory Exceptions while parsing crafted DOC, PPT and XLS (POI bugs 52372 and 61295).
References
Vulnerable Configurations
  • cpe:2.3:a:apache:poi:0.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.6:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.7:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:0.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:0.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.7:dev:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.7:dev:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.8:dev:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.8:dev:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:1.10:dev:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:1.10:dev:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.0:pre1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.0:pre1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.0:pre2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.0:pre2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.0:pre3:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.0:pre3:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:2.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:2.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0:alpha3:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0:alpha3:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0.2:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0.2:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.0.2:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.0.2:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.1:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.1:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.1:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.1:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:beta3:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:beta3:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:beta4:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:beta4:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:beta5:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:beta5:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.5:beta6:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.5:beta6:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.6:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.7:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.7:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.7:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.7:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.7:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.7:beta3:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.7:beta3:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.8:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.8:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.8:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.8:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.8:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.8:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.8:beta3:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.8:beta3:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.8:beta4:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.8:beta4:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.8:beta5:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.8:beta5:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.9:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.9:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.10:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.10:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.10:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.10:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.10:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.10:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.11:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.11:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.13:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.13:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:poi:3.14:*:*:*:*:*:*:*
    cpe:2.3:a:apache:poi:3.14:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 14-06-2021 - 18:15)
Impact:
Exploitability:
CWE CWE-835
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:P
redhat via4
advisories
rhsa
id RHSA-2018:1322
refmap via4
bid 102879
misc
mlist
  • [dev] 20180126 CVE-2017-12626 - Denial of Service Vulnerabilities in Apache POI < 3.17
  • [lucene-solr-user] 20190104 Re: SOLR v7 Security Issues Caused Denial of Use - Sonatype Application Composition Report
Last major update 14-06-2021 - 18:15
Published 29-01-2018 - 17:29
Last modified 14-06-2021 - 18:15
Back to Top