PT-2024-10039 · Unknown+2 · Logback-Core+2
7Asecurity
·
Publicado
2024-12-19
·
Atualizado
2026-05-18
·
CVE-2024-12798
CVSS v4.0
5.9
Média
| Vetor | AV:L/AC:L/AT:P/PR:L/UI:P/VC:L/VI:H/VA:L/SC:L/SI:H/SA:L/RE:L/U:Clear |
Nome do software vulnerável e versões afetadas
Versões do logback-core de 0.1 a 1.3.14
Versões do logback-core de 1.4.0 a 1.5.12
Descrição
A vulnerabilidade está relacionada à extensão JaninoEventEvaluator no logback-core, que permite que um invasor execute código arbitrário ao comprometer um arquivo de configuração existente do logback ou ao injetar uma variável de ambiente antes da execução do programa. Para que o ataque seja bem-sucedido, é necessário que o usuário tenha acesso de gravação a um arquivo de configuração. Alternativamente, o invasor poderia injetar uma variável de ambiente maliciosa apontando para um arquivo de configuração malicioso. Em ambos os casos, o ataque requer privilégios existentes. Arquivos de configuração maliciosos do logback podem permitir que o invasor execute código arbitrário usando a extensão JaninoEventEvaluator.
Recomendações
Para as versões 0.1 a 1.3.14 do logback-core, considere desativar a extensão JaninoEventEvaluator até que um patch esteja disponível.
Para as versões 1.4.0 a 1.5.12 do logback-core, considere desativar a extensão JaninoEventEvaluator até que um patch esteja disponível.
Como solução temporária, restrinja o acesso aos arquivos de configuração para minimizar o risco de exploração.
Evite injetar variáveis de ambiente que possam apontar para arquivos de configuração maliciosos até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Suse
Logback-Core