CVE-2022-23305

CRÍTIC (9,9)

CVSS3: 0,0

Per disseny, el JDBCAppender a Log4j versions 1.2.x, accepta una sentència SQL com a paràmetre de configuració on els valors a inserir són convertidors de PatternLayout. És probable que el convertidor de missatges, %m, s’inclogui sempre. Això permet que els atacants manipulin l’SQL introduint cadenes dissenyades als camps d’entrada o a les capçaleres d’una aplicació que són registrades i que permeten una execució de consultes SQL no desitjades. Tingueu en compte que aquest problema només afecta Log4j versions 1.x quan està configurat específicament per utilitzar el JDBCAppender, que no és el predeterminat. A partir de la versió 2.0-beta8, es va reintroduir el JDBCAppender amb suport apropiat per a consultes SQL parametritzades i major personalització sobre les columnes escrites als registres. L’Apache Log4j versions 1.2 va arribar al final de la seva vida útil l’agost de 2015. Els usuaris haurien d’actualitzar a Log4j 2, perquè aborda nombrosos problemes de les versions anteriors

Sistemes Afectats

• Apache Log4J
• Netapp Snapmanager –
• Broadcom Brocade Sannav –
• Qos Reload4J
• Oracle Advanced Supply Chain Planning 12.1
• Oracle Advanced Supply Chain Planning 12.2
• Oracle Business Intelligence 5.9.0.0.0
• Oracle Business Intelligence 12.2.1.3.0
• Oracle Business Intelligence 12.2.1.4.0
• Oracle Business Process

Remediació

Vegeu-ne les Referències.

Referències

• Mailing List;Third Party Advisory
• Issue Tracking;Mailing List;Vendor Advisory
• Vendor Advisory
• Third Party Advisory
• Patch;Third Party Advisory