CVE-2023-31038 in Log4cxx정보

요약

\~에 의해 VulDB • 2026. 07. 01.

ODBC 앱ен더를 사용하여 데이터베이스로 로그 메시지를 전송할 때 Log4cxx에서 SQL 인젝션 취약점이 존재합니다. 데이터베이스에 전달되는 모든 필드가 SQL 인젝션으로부터 적절히 이스케이프 처리되지 않았습니다. 이 문제는 최소한 버전 0.9.0(2003-08-06 출시)부터 발생해 왔습니다.

Log4cxx는 C++ 프레임워크이므로, 영향을 받는 것은 오직 C++ 애플리케이션뿐입니다.

버전 1.1.0 이전에는 라이브러리 컴파일 시 해당 라이브러리가 발견되면 ODBC 앱ен더가 Log4cxx의 일부로 자동으로 포함되었습니다. 버전 1.1.0부터는 컴파일에 명시적으로 활성화해야 합니다.

이 취약점이 발생하려면 다음 세 가지 전제 조건이 모두 충족되어야 합니다:

1. ODBC 지원 기능을 사용하여 Log4cxx를 컴파일함 (버전 1.1.0 이전에는 컴파일 시 자동으로 감지됨) 2. 로그 메시지 전송을 위해 ODBCAppender가 활성화되어 있음(일반적으로 구성 파일을 통해 설정) 3. 사용자 입력이 어딘가에 로깅되는 경우. 애플리케이션에 사용자 입력이 없는 경우 영향을 받을 가능성이 낮습니다.

사용자는 SQL 문에 매개변수를 적절히 바인딩하는 버전 1.1.0으로 업그레이드하거나, ODBC 연결을 비롯한 다른 데이터베이스를 지원하는 새로운 DBAppender 클래스로 마이그레이션할 것을 권장합니다. 이 수정 사항에는 구성 파일 업데이트가 필요하며, 이전 구성 파일은 제대로 작동하지 않습니다. 아래에 예시가 제공되며, Log4cxx 문서의 ODBCAppender 섹션에서 더 많은 정보를 확인할 수 있습니다.

이전 구성 스니펫 예시:



... other params here ...




새 ColumnMapping 매개변수를 사용한 마이그레이션된 구성 스니펫:





... other params here ...

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

예약하다

2023. 04. 22.

모더레이션

수락

항목

VDB-228186

EPSS

0.01597

출처

Interested in the pricing of exploits?

See the underground prices here!