製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache log4net における XML 外部エンティティの脆弱性

タイトル	Apache log4net における XML 外部エンティティの脆弱性
概要	Apache log4net には、XML 外部エンティティの脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年5月10日0:00
登録日	2020年6月11日15:39
最終更新日	2025年5月26日11:09

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

Apache Software Foundation

Apache log4net 2.0.10 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-1285	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1285
National Vulnerability Database (NVD)
2	CVE-2018-1285	https://nvd.nist.gov/vuln/detail/CVE-2018-1285

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-611	https://cwe.mitre.org/data/definitions/611.html

ベンダー情報

No	名前	URL
Apache Mail Archives
1	Re: [CVE-2018-1285] XXE vulnerability in Apache log4net	https://lists.apache.org/thread.html/r9de86a185575e6c5f92e2a70a1d2e2e9514dc4341251577aac8e3866@%3Cdev.logging.apache.org%3E
2	[CVE-2018-1285] XXE vulnerability in Apache log4net (r33564d)	https://lists.apache.org/thread.html/r33564de316d4e4ba0fea1d4d079e62cde1ffe64369c1157243d840d9@%3Cdev.logging.apache.org%3E
3	[CVE-2018-1285] XXE vulnerability in Apache log4net (reab1c2)	https://lists.apache.org/thread.html/reab1c277c95310bad1038255e0757857b2fbe291411b4fa84552028a%40%3Cdev.logging.apache.org%3E

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-25-142-02	https://www.cisa.gov/news-events/ics-advisories/icsa-25-142-02
2	ICSMA-23-194-01	https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-194-01
JVN
3	JVNTA#94851885	https://jvn.jp/ta/JVNTA94851885/
4	JVNVU#90425347	https://jvn.jp/vu/JVNVU90425347/
5	JVNVU#97972484	http://jvn.jp/vu/JVNVU97972484/index.html
6	JVNVU#98873546	https://jvn.jp/vu/JVNVU98873546/index.html

変更履歴

No	変更内容	変更日
2	[2021年11月26日] 参考情報：JVN (JVNTA#94851885) を追加	2021年11月26日11:24
3	[2023年07月20日] 参考情報：JVN (JVNVU#97972484) を追加参考情報：ICS-CERT ADVISORY (ICSMA-23-194-01) を追加	2023年7月20日13:08
1	[2020年06月11日] 掲載	2020年6月11日15:39
4	[2024年09月12日] 参考情報：JVN (JVNVU#90425347) を追加	2024年9月12日14:42
5	[2025年05月26日] 参考情報：JVN (JVNVU#98873546) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-142-02) を追加	2025年5月26日10:52

NVD脆弱性情報

CVE-2018-1285

概要	Apache log4net versions before 2.0.10 do not disable XML external entities when parsing log4net configuration files. This allows for XXE-based attacks in applications that accept attacker-controlled log4net configuration files.
公表日	2020年5月12日2:15
登録日	2021年1月26日10:40
最終更新日	2024年11月21日12:59

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:log4net::::::::					2.0.10

構成2	以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:30:::::::*
cpe:2.3:o:fedoraproject:fedora:31:::::::*
cpe:2.3:o:fedoraproject:fedora:32:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:oracle:application_testing_suite:13.3.0.1:::::::*
cpe:2.3:a:oracle:hospitality_simphony:19.1.3:::::::*
cpe:2.3:a:oracle:hospitality_simphony:18.2.7.2:::::::*
cpe:2.3:a:oracle:hospitality_opera_5:5.5:::::::*
cpe:2.3:a:oracle:hospitality_opera_5:5.6:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:a:netapp:snapcenter:-:::::::*
cpe:2.3:a:netapp:manageability_software_development_kit:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://issues.apache.org/jira/browse/LOG4NET-575	Issue Tracking Vendor Advisory
2	https://issues.apache.org/jira/browse/LOG4NET-575	Issue Tracking Vendor Advisory
3	https://lists.apache.org/thread.html/r00b16ac5e0bbf7009a0d167ed58f3f94d0033b0f4b3e3d5025cc4872%40%3Cdev.logging.apache.org%3E
4	https://lists.apache.org/thread.html/r00b16ac5e0bbf7009a0d167ed58f3f94d0033b0f4b3e3d5025cc4872%40%3Cdev.logging.apache.org%3E
5	https://lists.apache.org/thread.html/r33564de316d4e4ba0fea1d4d079e62cde1ffe64369c1157243d840d9%40%3Cdev.logging.apache.org%3E
6	https://lists.apache.org/thread.html/r33564de316d4e4ba0fea1d4d079e62cde1ffe64369c1157243d840d9%40%3Cdev.logging.apache.org%3E
7	https://lists.apache.org/thread.html/r525cbbd7db0aef4a114cf60de8439aa285decc34904d42a7f14f39c3%40%3Cdev.logging.apache.org%3E
8	https://lists.apache.org/thread.html/r525cbbd7db0aef4a114cf60de8439aa285decc34904d42a7f14f39c3%40%3Cdev.logging.apache.org%3E
9	https://lists.apache.org/thread.html/r6543acafca3e2d24ff4b0c364a91540cb9378977ffa8d37a03ab4b0f%40%3Cdev.logging.apache.org%3E
10	https://lists.apache.org/thread.html/r6543acafca3e2d24ff4b0c364a91540cb9378977ffa8d37a03ab4b0f%40%3Cdev.logging.apache.org%3E
11	https://lists.apache.org/thread.html/r7ab6b6e702f11a6f77b0db2af2d5e5532f56ae4b99b5fe73c5200b6a%40%3Cdev.logging.apache.org%3E
12	https://lists.apache.org/thread.html/r7ab6b6e702f11a6f77b0db2af2d5e5532f56ae4b99b5fe73c5200b6a%40%3Cdev.logging.apache.org%3E
13	https://lists.apache.org/thread.html/r9de86a185575e6c5f92e2a70a1d2e2e9514dc4341251577aac8e3866%40%3Cdev.logging.apache.org%3E
14	https://lists.apache.org/thread.html/r9de86a185575e6c5f92e2a70a1d2e2e9514dc4341251577aac8e3866%40%3Cdev.logging.apache.org%3E
15	https://lists.apache.org/thread.html/rd2d72a017e238d1f345f9d14e075c81be16fc68a41c9e9ad9e29a732%40%3Cdev.logging.apache.org%3E
16	https://lists.apache.org/thread.html/rd2d72a017e238d1f345f9d14e075c81be16fc68a41c9e9ad9e29a732%40%3Cdev.logging.apache.org%3E
17	https://lists.apache.org/thread.html/rdbac24c945ca5c69cd5348b5ac023bc625768f653335de146e09ae2d%40%3Cdev.logging.apache.org%3E
18	https://lists.apache.org/thread.html/rdbac24c945ca5c69cd5348b5ac023bc625768f653335de146e09ae2d%40%3Cdev.logging.apache.org%3E
19	https://lists.apache.org/thread.html/reab1c277c95310bad1038255e0757857b2fbe291411b4fa84552028a%40%3Cdev.logging.apache.org%3E	Mailing List Vendor Advisory
20	https://lists.apache.org/thread.html/reab1c277c95310bad1038255e0757857b2fbe291411b4fa84552028a%40%3Cdev.logging.apache.org%3E	Mailing List Vendor Advisory
21	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/M2U233HVAQDSZ2PRG4XSGDASLY3J6ALH/
22	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/M2U233HVAQDSZ2PRG4XSGDASLY3J6ALH/
23	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VKL2LPINAI6BCMXOH4V4HVHGLUXIWOFO/
24	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VKL2LPINAI6BCMXOH4V4HVHGLUXIWOFO/
25	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VT2DNNSW7C7FNK3MA3SLEUHGW5USYZKE/
26	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VT2DNNSW7C7FNK3MA3SLEUHGW5USYZKE/
27	https://security.netapp.com/advisory/ntap-20220909-0001/	Third Party Advisory
28	https://security.netapp.com/advisory/ntap-20220909-0001/	Third Party Advisory
29	https://www.oracle.com/security-alerts/cpuApr2021.html	Third Party Advisory
30	https://www.oracle.com/security-alerts/cpuApr2021.html	Third Party Advisory
31	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
32	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
33	https://www.oracle.com/security-alerts/cpujan2021.html	Third Party Advisory
34	https://www.oracle.com/security-alerts/cpujan2021.html	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-611	XML 外部エンティティ参照の不適切な制限	https://cwe.mitre.org/data/definitions/611.html