GHSA-6v67-2wr5-gvf4

Опубликовано: 19 дек. 2024

Источник: github

Github: Прошло ревью

CVSS4: 2.4

Описание

QOS.CH logback-core Server-Side Request Forgery vulnerability

Server-Side Request Forgery (SSRF) in SaxEventRecorder by QOS.CH logback version 1.5.12 on the Java platform, allows an attacker to forge requests by compromising logback configuration files in XML.

The attacks involves the modification of DOCTYPE declaration in XML configuration files.

Ссылки

Пакеты

Наименование

ch.qos.logback:logback-core

maven

Затронутые версииВерсия исправления

>= 1.4.0, < 1.5.13

1.5.13

Наименование

ch.qos.logback:logback-core

maven

Затронутые версииВерсия исправления

< 1.3.15

1.3.15

EPSS

Процентиль: 14%

0.00046

Низкий

2.4 Low

CVSS4

CVE ID

CVE-2024-12801

Дефекты

CWE-918

Связанные уязвимости

CVE-2024-12801

ubuntu

около 1 года назад

Server-Side Request Forgery (SSRF) in SaxEventRecorder by QOS.CH logback version 0.1 to 1.3.14 and 1.4.0 to 1.5.12 on the Java platform, allows an attacker to forge requests by compromising logback configuration files in XML. The attacks involves the modification of DOCTYPE declaration in XML configuration files.