Inicio / Content / Boletín de INCIBE-CERT del 24-03-2022

Boletín de INCIBE-CERT del 24-03-2022

Vulnerabilidad de log4net en FSM de Bosch

Fecha de publicación: 
24/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Bosch FSM-10000:
    • cliente <= 5.6.2131;
    • servidor <= 5.6.630.
  • Bosch FSM-10k:
    • cliente <= 5.6.2131;
    • servidor <= 5.6.630.
  • Bosch FSM-2500:
    • cliente <= 5.6.2131;
    • servidor <= 5.6.630.
  • Bosch FSM-5000:
    • cliente <= 5.6.2131;
    • servidor <= 5.6.630.
Descripción: 

Bosch ha publicado una vulnerabilidad de log4net de severidad crítica por la que un atacante podría realizar ataques basados en XXE.

Solución: 

Actualizar:

Detalle: 

Las versiones de Apache log4net, anteriores a la 2.0.10, no deshabilitan las entidades externas XML al analizar los archivos de configuración de log4net. Esto podría permitir ataques basados en XXE en aplicaciones que aceptan archivos de configuración de log4net controlados por el atacante. Se ha asignado el identificador CVE-2018-1285 para esta vulnerabilidad.

Encuesta valoración