CVE-2017-9096 - The XML parsers in iText before 5.5.12 and 7.x before 7.0.3 do not disable external entities, which

CVE-2017-9096

Summary

The XML parsers in iText before 5.5.12 and 7.x before 7.0.3 do not disable external entities, which might allow remote attackers to conduct XML external entity (XXE) attacks via a crafted PDF.

References

Vulnerable Configurations

cpe:2.3:a:itextpdf:itext:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.0.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.1.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.2.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.3.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.8:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.8:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.9:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:1.4.9:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.8:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.0.8:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:2.1.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.0.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.1.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.2.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.2.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.2.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.2.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.3.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.4.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.3:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.4:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.5:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.6:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.7:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.8:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.8:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.9:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.9:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.10:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.10:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.11:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:5.5.11:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:7.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:7.0.0:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:7.0.2:*:*:*:*:*:*:*
cpe:2.3:a:itextpdf:itext:7.0.2:*:*:*:*:*:*:*

CVSS

Base:	6.8 (as of 20-10-2020 - 22:15)
Impact:
Exploitability:

CWE

CWE-611

CAPEC

XML External Entities Blowup
This attack takes advantage of the entity replacement property of XML where the value of the replacement is a URI. A well-crafted XML document could have the entity refer to a URI that consumes a large amount of resources to create a denial of service condition. This can cause the system to either freeze, crash, or execute arbitrary code depending on the URI.

Access

Vector	Complexity	Authentication
NETWORK	MEDIUM	NONE

Impact

Confidentiality	Integrity	Availability
PARTIAL	PARTIAL	PARTIAL

cvss-vector via4

AV:N/AC:M/Au:N/C:P/I:P/A:P

refmap via4

bugtraq	20171106 CVE-2017-9096 iText XML External Entity Vulnerability
confirm	https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03902en_us
misc	https://www.compass-security.com/fileadmin/Datein/Research/Advisories/CSNC-2017-017_itext_xml_external_entity_attack.txt https://www.oracle.com/security-alerts/cpuoct2020.html

Last major update

20-10-2020 - 22:15

Published

08-11-2017 - 16:29

Last modified

20-10-2020 - 22:15