CVE-2023-31038 in Log4cxxinformazioni

Riassunto

di VulDB • 24/06/2026

Iniezione SQL in Log4cxx quando si utilizza l'appender ODBC per inviare messaggi di log a un database. Nessun campo inviato al database è stato correttamente sanificato (escaped) contro le iniezioni SQL. Questo problema esiste almeno dalla versione 0.9.0 (rilasciata il 2003-08-06).

Si noti che Log4cxx è un framework C++, quindi solo le applicazioni scritte in C++ sono interessate.

Prima della versione 1.1.0, l'appender ODBC era incluso automaticamente in Log4cxx se la libreria veniva rilevata durante la compilazione. A partire dalla versione 1.1.0, questa funzionalità deve essere esplicitamente abilitata per essere inclusa nella compilazione.

Devono essere soddisfatte tre condizioni preliminari affinché questa vulnerabilità sia sfruttabile:

1. Log4cxx compilato con il supporto ODBC (prima della versione 1.1.0, questo veniva rilevato automaticamente in fase di compilazione). 2. ODBCAppender abilitato per l'invio dei messaggi di log, generalmente configurato tramite un file di configurazione. 3. I dati inseriti dall'utente vengono registrati da qualche parte. Se la propria applicazione non accetta input dell'utente, è improbabile che sia interessata.

Si consiglia agli utenti di eseguire l'aggiornamento alla versione 1.1.0, che associa correttamente i parametri all'istruzione SQL, oppure di migrare verso la nuova classe DBAppender, che supporta una connessione ODBC oltre ad altri database. Si noti che questa correzione richiede un aggiornamento del file di configurazione, poiché le vecchie configurazioni non funzioneranno correttamente. Un esempio è mostrato di seguito; ulteriori informazioni sono disponibili nella documentazione di Log4cxx relativa a ODBCAppender.

Esempio di frammento della vecchia configurazione:

``` ... altri parametri qui ... ```

Frammento della configurazione migrata con i nuovi parametri ColumnMapping:

``` ... altri parametri qui ... ```

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Prenotare

22/04/2023

Divulgazione

08/05/2023

Moderazione

accettato

CPE

pronto

EPSS

0.01597

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!