发布日期：2024-12-19
更新日期：2025-04-09

受影响系统：

QOS.ch Logback SaxEventRecorder >= 1.4.0
QOS.ch Logback SaxEventRecorder >= 0.1
QOS.ch Logback SaxEventRecorder <= 1.5.12
QOS.ch Logback SaxEventRecorder <= 1.3.14

描述：

---

CVE(CAN) ID: CVE-2024-12801

logback是QOS.CH开源的一个可靠、通用、快速且灵活的Java日志记录框架。
logback 0.1至1.3.14版本，1.4.0至1.5.12版本的SaxEventRecorder存在服务器端请求伪造漏洞，攻击者利用该漏洞可以通过破坏XML中的logback配置文件来伪造请求，修改XML配置文件中的DOCTYPE声明。

<**>

建议：

---

厂商补丁：

QOS.ch Logback
--------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://access.redhat.com/security/cve/cve-2024-12801

浏览次数：61
严重程度：0（网友投票）