Vulnerabilidad de log4net en FSM de Bosch

Fecha de publicación:

24/03/2022

Importancia:

5 - Crítica

Recursos afectados:

Bosch FSM-10000:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.
Bosch FSM-10k:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.
Bosch FSM-2500:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.
Bosch FSM-5000:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.

Descripción:

Bosch ha publicado una vulnerabilidad de log4net de severidad crítica por la que un atacante podría realizar ataques basados en XXE.

Solución:

Actualizar:

servidor FSM superior a la 5.6.630;
cliente FSM superior a la 5.6.2131.

Detalle:

Las versiones de Apache log4net, anteriores a la 2.0.10, no deshabilitan las entidades externas XML al analizar los archivos de configuración de log4net. Esto podría permitir ataques basados en XXE en aplicaciones que aceptan archivos de configuración de log4net controlados por el atacante. Se ha asignado el identificador CVE-2018-1285 para esta vulnerabilidad.

Referencias:

Bosch Fire Monitoring System (FSM) affected by log4net Vulnerability

Etiquetas:

Actualización

Apache

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de log4net en FSM de Bosch

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron