Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01050

Опубликовано: 11 мая 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость библиотеки журналирования на платформу .NET Framework log4net связана с ошибками ограничения XML-ссылок на внешние объекты (XXE). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Fedora Project
Apache Software Foundation
Oracle Corp.
АО «НТЦ ИТ РОСА»

Наименование ПО

Fedora
Log4net
Oracle Hospitality Simphony
РОСА ХРОМ

Версия ПО

30 (Fedora)
31 (Fedora)
32 (Fedora)
до 2.0.8 включительно (Log4net)
18.2.7.2 (Oracle Hospitality Simphony)
19.1.3 (Oracle Hospitality Simphony)
12.4 (РОСА ХРОМ)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Fedora Project Fedora 30
Fedora Project Fedora 31
Fedora Project Fedora 32
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M2U233HVAQDSZ2PRG4XSGDASLY3J6ALH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VKL2LPINAI6BCMXOH4V4HVHGLUXIWOFO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VT2DNNSW7C7FNK3MA3SLEUHGW5USYZKE/
Для Apache log4net:
https://issues.apache.org/jira/browse/LOG4NET-575
Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2169

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.49024
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-1285

CVSS3: 9.8
ubuntu
больше 5 лет назад

Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.

nvd логотип

CVE-2018-1285

CVSS3: 9.8
nvd
больше 5 лет назад

Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.

debian логотип

CVE-2018-1285

CVSS3: 9.8
debian
больше 5 лет назад

Apache log4net versions before 2.0.10 do not disable XML external enti ...

github логотип

GHSA-2cwj-8chv-9pp9

CVSS3: 9.8
github
около 5 лет назад

XML External Entity attack in log4net

EPSS

Процентиль: 98%
0.49024
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2