Vulnerabilidad en JMSSink de Log4j (CVE-2022-23302)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
18/01/2022
Última modificación:
24/02/2023
Descripción
JMSSink en todas las versiones de Log4j 1.x, es vulnerable a una deserialización de datos no confiables cuando el atacante presenta acceso de escritura a la configuración de Log4j o si la configuración hace referencia a un servicio LDAP al que el atacante presenta acceso. El atacante puede proporcionar una configuración TopicConnectionFactoryBindingName causando que JMSSink lleve a cabo peticiones JNDI que resulten en la ejecución de código remota de forma similar a CVE-2021-4104. Tenga en cuenta que este problema sólo afecta a Log4j versiones 1.x cuando es configurado específicamente para usar JMSSink, que no es el predeterminado. Apache Log4j versión 1.2 llegó al final de su vida útil en agosto de 2015. Los usuarios deberían actualizar a Log4j 2 ya que aborda otros numerosos problemas de las versiones anteriores
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 1.0.1 (incluyendo) | 1.2.17 (incluyendo) |
cpe:2.3:a:netapp:snapmanager:-:*:*:*:*:oracle:*:* | ||
cpe:2.3:a:netapp:snapmanager:-:*:*:*:*:sap:*:* | ||
cpe:2.3:a:broadcom:brocade_sannav:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:qos:reload4j:*:*:*:*:*:*:*:* | 1.2.18.1 (excluyendo) | |
cpe:2.3:a:oracle:advanced_supply_chain_planning:12.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:advanced_supply_chain_planning:12.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:business_intelligence:5.9.0.0.0:*:*:*:enterprise:*:*:* | ||
cpe:2.3:a:oracle:business_intelligence:12.2.1.3.0:*:*:*:enterprise:*:*:* | ||
cpe:2.3:a:oracle:business_intelligence:12.2.1.4.0:*:*:*:enterprise:*:*:* | ||
cpe:2.3:a:oracle:business_process_management_suite:12.2.1.3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:business_process_management_suite:12.2.1.4.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:communications_eagle_ftp_table_base_retrieval:4.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:communications_instant_messaging_server:10.0.1.5.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:communications_messaging_server:8.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/01/18/3
- https://lists.apache.org/thread/bsr3l5qz4g0myrjhy9h67bcxodpkwj4w
- https://logging.apache.org/log4j/1.2/index.html
- https://security.netapp.com/advisory/ntap-20220217-0006/
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujul2022.html