ID CVE-2017-9096
Summary The XML parsers in iText before 5.5.12 and 7.x before 7.0.3 do not disable external entities, which might allow remote attackers to conduct XML external entity (XXE) attacks via a crafted PDF.
References
Vulnerable Configurations
  • cpe:2.3:a:itextpdf:itext:1.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.6:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.7:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.8:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.8:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:1.4.9:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:1.4.9:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.6:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:2.1.7:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:2.1.7:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.7:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.8:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.9:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.10:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.10:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:5.5.11:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:5.5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:7.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:7.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:7.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:7.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:itextpdf:itext:7.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:itextpdf:itext:7.0.2:*:*:*:*:*:*:*
CVSS
Base: 6.8 (as of 20-10-2020 - 22:15)
Impact:
Exploitability:
CWE CWE-611
CAPEC
  • XML External Entities Blowup
    This attack takes advantage of the entity replacement property of XML where the value of the replacement is a URI. A well-crafted XML document could have the entity refer to a URI that consumes a large amount of resources to create a denial of service condition. This can cause the system to either freeze, crash, or execute arbitrary code depending on the URI.
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:M/Au:N/C:P/I:P/A:P
refmap via4
bugtraq 20171106 CVE-2017-9096 iText XML External Entity Vulnerability
confirm https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03902en_us
misc
Last major update 20-10-2020 - 22:15
Published 08-11-2017 - 16:29
Last modified 20-10-2020 - 22:15
Back to Top