1. 主页
  2. 支持
技术文章 - CS356750

CVE-2018-1285 安全漏洞存在于 ThingWorx .Net SDK 5.8.3 中使用的 log4net.dll 2.0.8.0 库中

已修改: 22-Jul-2022   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • ThingWorx Edge SDK 5.8.0 to 5.8.3 M080

说明

  • 2.0.10 之前的 Apache log4net 版本在解析 log4net 配置文件时不会禁用 XML 外部实体。这允许攻击者在接受攻击者控制的 log4net 配置文件的应用程序中执行基于 XXE 的攻击。
  • CVE-2018-1285 漏洞存在于 ThingWorx .Net SDK 5.8.3 中,该漏洞在最初发现时被视为高风险。
  • 根据 PTC 的内部漏洞管理政策,进行了额外的分类和分析。
  • 基于我们的产品系统架构,PTC 认为这是一种低风险:
    • 包含一个 XML 解析器,但它没有注入到构建的设置中。
  • 产品使用 ThingWorx Dotnet-SDK-5-8-3-711,其中包含名为 log4net.dll 的第三方库
    • log4net.dll 的版本为 2.0.8.0,暴露于 CVE-2018-1285,但在我们的内部漏洞管理计划中概述的内部分析后被认为是低风险。
这是文章 356750 的 PDF 版本,可能已过期。最新版本 CS356750