Описание
Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.
Пакеты
| Пакет | Статус | Версия исправления | Релиз | Тип |
|---|---|---|---|---|
| log4net | fixed | 1.2.10+dfsg-8 | package | |
| log4net | no-dsa | buster | package | |
| log4net | no-dsa | stretch | package |
Примечания
https://issues.apache.org/jira/browse/LOG4NET-575
https://github.com/apache/logging-log4net/commit/d0b4b0157d4af36b23c24a23739c47925c3bd8d7
EPSS
Связанные уязвимости
Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.
Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.
Уязвимость библиотеки журналирования на платформу .NET Framework log4net, связанная с ошибками ограничения XML-ссылок на внешние объекты (XXE), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
EPSS