Vulnerabilidad de log4net en FSM de Bosch

Fecha de publicación: 24/03/2022

Importancia:
Crítica

Recursos afectados:

Bosch FSM-10000:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.
Bosch FSM-10k:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.
Bosch FSM-2500:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.
Bosch FSM-5000:
- cliente <= 5.6.2131;
- servidor <= 5.6.630.

Descripción:

Bosch ha publicado una vulnerabilidad de log4net de severidad crítica por la que un atacante podría realizar ataques basados en XXE.

Solución:

Actualizar:

servidor FSM superior a la 5.6.630;
cliente FSM superior a la 5.6.2131.

Detalle:

Las versiones de Apache log4net, anteriores a la 2.0.10, no deshabilitan las entidades externas XML al analizar los archivos de configuración de log4net. Esto podría permitir ataques basados en XXE en aplicaciones que aceptan archivos de configuración de log4net controlados por el atacante. Se ha asignado el identificador CVE-2018-1285 para esta vulnerabilidad.

Etiquetas:
Actualización, Apache, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidad de log4net en FSM de Bosch

Información

Enlaces de Soporte

Aviso Legal

Política de Privacidad

Política de Cookies