Описание
Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.
| Релиз | Статус | Примечание |
|---|---|---|
| bionic | released | 1.2.10+dfsg-7ubuntu0.18.04.1 |
| devel | not-affected | 1.2.10+dfsg-8 |
| eoan | ignored | end of life |
| esm-apps/bionic | released | 1.2.10+dfsg-7ubuntu0.18.04.1 |
| esm-apps/focal | released | 1.2.10+dfsg-7ubuntu0.20.04.1 |
| esm-apps/jammy | needed | |
| esm-apps/noble | not-affected | 1.2.10+dfsg-8 |
| esm-apps/xenial | released | 1.2.10+dfsg-7ubuntu0.16.04.1 |
| esm-infra-legacy/trusty | DNE | |
| focal | released | 1.2.10+dfsg-7ubuntu0.20.04.1 |
Показывать по
Ссылки на источники
EPSS
7.5 High
CVSS2
9.8 Critical
CVSS3
Связанные уязвимости
Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.
Apache log4net versions before 2.0.10 do not disable XML external enti ...
Уязвимость библиотеки журналирования на платформу .NET Framework log4net, связанная с ошибками ограничения XML-ссылок на внешние объекты (XXE), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
EPSS
7.5 High
CVSS2
9.8 Critical
CVSS3