Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
El framework de Apache Log4cxx presenta un problema con el formato JSON de sus registros: ciertos caracteres especiales no se limpian correctamente, por lo que mensajes maliciosos pueden quedar registrados tal cual y causar errores o interpretaciones equivocadas en las aplicaciones que procesan esos registros. Esta falla puede explotarse de forma remota sin necesidad de privilegios especiales ni interacción del usuario cuando el formato JSON está habilitado.
Recursos afectados
-
Apache Log4cxx versiones anteriores a la 1.5.0
-
Aplicaciones o sistemas que utilicen Log4cxx con JSONLayout configurado, que procesan logs con caracteres especiales/no imprimibles.
Solución
-
Actualizar Apache Log4cxx a la versión 1.5.0 (o superior), donde se corrige la neutralización incorrecta de salida para JSONLayout.
-
Si no es posible actualizar de inmediato, se recomienda limpiar previamente los mensajes antes de registrarlos, de modo que se eliminen o sustituyan los caracteres extraños que puedan generar problemas en el sistema de registros.
Recomendaciones
Revisa la configuración del sistema de registros y, si no es indispensable, desactiva temporalmente el uso de JSON o cámbialo por un formato más seguro para manejar caracteres especiales. Evita que mensajes provenientes de fuentes poco confiables ingresen directamente al registro, ya que podrían contener datos manipulados. Asegúrate de que las herramientas que procesan los registros puedan identificar y manejar mensajes con caracteres inusuales o con formatos extraños. Finalmente, mantén Log4cxx siempre actualizado y aplica una vigilancia constante frente a nuevas vulnerabilidades.