Domanda:
DocuWare è interessato da CVE-2025-68161?
CVE-2025-68161 riguarda le versioni di Apache Log4j Core da 2.0-beta9 a 2.25.2.
Risposta:
Secondo la progettazione dell'azienda, il Socket Appender in Apache Log4j Core dalle versioni 2.0-beta9 a 2.25.2 non esegue la verifica del nome host TLS del certificato peer. Pertanto, potrebbe consentire a un utente malintenzionato di intercettare o reindirizzare il traffico di log se l'utente malintenzionato ha già ottenuto l'accesso alla rete in cui opera il servizio Fulltext.
Le versioni 7.7 e successive di DocuWare utilizzano Log4j 2.17.2. La prassi migliore consiste nel proteggere il servizio Fulltext con un firewall, consentendo a DocuWare e ai suoi servizi di accedere solo al servizio Fulltext. Collaborare con l'amministratore di rete.
Per ulteriori informazioni sulle porte utilizzate da DocuWare e Fulltext, vedere: KBA-34951
Il KBA è applicabile SOLO ai sistemi on-premise!
Si prega di notare: Questo articolo è una traduzione dall'inglese. Le informazioni contenute in questo articolo si basano sulla versione originale in inglese del/i prodotto/i. Potrebbero esserci piccoli errori, ad esempio nella grammatica utilizzata nella versione tradotta dei nostri articoli. Sebbene non possiamo garantire la completa accuratezza della traduzione, nella maggior parte dei casi la troverete sufficientemente informativa. In caso di dubbi, si prega di fare riferimento alla versione inglese di questo articolo.
Visualizzazioni:
Questo articolo vale per le versioni di DocuWare: 7.7, 7.8, 7.9, 7.10, 7.11, 7.12, 7.13, CVE-2025-68161, Is DocuWare affected by CVE-2025-68161