| Title | Apache log4net における XML 外部エンティティの脆弱性 |
|---|---|
| Summary | Apache log4net には、XML 外部エンティティの脆弱性が存在します。 |
| Possible impacts | 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 10, 2020, midnight |
| Registration Date | June 11, 2020, 3:39 p.m. |
| Last Update | May 26, 2025, 11:09 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 危険 | |
| Score | 7.5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Apache Software Foundation |
| Apache log4net 2.0.10 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 2 | [2021年11月26日] 参考情報:JVN (JVNTA#94851885) を追加 |
Nov. 26, 2021, 11:24 a.m. |
| 3 | [2023年07月20日] 参考情報:JVN (JVNVU#97972484) を追加 参考情報:ICS-CERT ADVISORY (ICSMA-23-194-01) を追加 |
July 20, 2023, 1:08 p.m. |
| 1 | [2020年06月11日] 掲載 |
June 11, 2020, 3:39 p.m. |
| 4 | [2024年09月12日] 参考情報:JVN (JVNVU#90425347) を追加 |
Sept. 12, 2024, 2:42 p.m. |
| 5 | [2025年05月26日] 参考情報:JVN (JVNVU#98873546) を追加 参考情報:ICS-CERT ADVISORY (ICSA-25-142-02) を追加 |
May 26, 2025, 10:52 a.m. |
| Summary | Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files. |
|---|---|
| Publication Date | May 12, 2020, 2:15 a.m. |
| Registration Date | Jan. 26, 2021, 10:40 a.m. |
| Last Update | Nov. 21, 2024, 12:59 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:log4net:*:*:*:*:*:*:*:* | 2.0.10 | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:oracle:application_testing_suite:13.3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:hospitality_simphony:19.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:hospitality_simphony:18.2.7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:hospitality_opera_5:5.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:hospitality_opera_5:5.6:*:*:*:*:*:*:* | |||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:netapp:manageability_software_development_kit:-:*:*:*:*:*:*:* | |||||