КиберосноваSGRC
BDU:2023-07205
Критический

BDU:2023-07205: Уязвимость адаптера JDBCAppender программы для журналирования Java-программ Log4j, позволяющая нарушителю выполнять произвольные SQL-запросы к базе данных

CVSS v39.8
CVSS v210.0
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2023-07205

Описание

Уязвимость адаптера JDBCAppender программы для журналирования Java-программ Log4j связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы к базе данных

Что делать с BDU:2023-07205

Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.8Критический
Пересчитать →
v2
10.0
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CWE-89

CVE — международный идентификатор

CVE-2022-23305
CWE-89
SQL-инъекция

Позволяет внедрить SQL-команды через пользовательский ввод. Приводит к несанкционированному доступу к базе данных, утечке и модификации данных.

Как атакуют и что делать ▾

Сценарий атаки

Через поле ввода (логин, поиск, фильтр) передаётся SQL-код: ' OR 1=1 --. Сервер выполняет модифицированный запрос к базе.

Последствия

Чтение всей базы данных, модификация/удаление записей, обход аутентификации, выполнение команд ОС.

Рекомендации

Используйте параметризованные запросы (prepared statements), ORM, минимальные привилегии УЗ базы данных.

Тактики и техники

Инъекция

Уязвимое ПО (46)

ВендорНазваниеВерсияПлатформа
Oracle Corp.Business Process Management Suite12.2.1.3.0Не указана
Oracle Corp.WebLogic Server12.2.1.3.0Не указана
Oracle Corp.Business Intelligence Enterprise Edition12.2.1.3.0Не указана
Oracle Corp.Business Intelligence Enterprise Edition12.2.1.4.0Не указана
Oracle Corp.Oracle JDeveloper12.2.1.3.0Не указана
Oracle Corp.Oracle Communications Messaging Server8.1Не указана
Microsoft CorpSQL Server2017Не указана
Oracle Corp.WebLogic Server12.2.1.4.0Не указана
Oracle Corp.Enterprise Manager Base Platform13.4.0.0Не указана
Oracle Corp.WebLogic Server14.1.1.0.0Не указана
Oracle Corp.Business Process Management Suite12.2.1.4.0Не указана
Oracle Corp.Oracle Communications Network Integrity7.3.6Не указана
Oracle Corp.Oracle Retail Extract Transform and Load13.2.5Не указана
Oracle Corp.Identity Manager Connector11.1.1.5.0Не указана
Oracle Corp.Advanced Supply Chain Planning12.1Не указана
Oracle Corp.Advanced Supply Chain Planning12.2Не указана
NetApp Inc.SnapManager for Oracle-Не указана
NetApp Inc.SnapManager for SAP-Не указана
Oracle Corp.Enterprise Manager Base Platform13.5.0.0Не указана
Oracle Corp.Business Intelligence Enterprise Edition5.9.0.0.0Не указана
Oracle Corp.Communications Instant Messaging Server10.0.1.5.0Не указана
Oracle Corp.Communications Unified Inventory Management7.4.1Не указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.4.3Не указана
Oracle Corp.MySQL Enterprise Monitorдо 8.0.29 включительноНе указана
АО «НТЦ ИТ РОСА»РОСА ХРОМ12.4Не указана
Oracle Corp.Middleware Common Libraries and Tools12.2.1.4.0Не указана
Apache Software FoundationLog4jот 1.2.0 до 1.2.17 включительноНе указана
Brocade Inc.Brocade SANnav-Не указана
QOSreload4jдо 1.2.18.2Не указана
Oracle Corp.Communications EAGLE FTP Table Base Retrieval4.5Не указана
Oracle Corp.Oracle Communications Offline Mediation Controllerдо 12.0.0.4.4Не указана
Oracle Corp.Oracle Communications Offline Mediation Controller12.0.0.5.0Не указана
Oracle Corp.Communications Unified Inventory Management7.4.2Не указана
Oracle Corp.E-business Suite Information Discoveryот 12.2.3 до 12.2.11 включительноНе указана
Oracle Corp.Oracle Financial Services Revenue Management and Billing Analytics2.7.0.0Не указана
Oracle Corp.Oracle Financial Services Revenue Management and Billing Analytics2.7.0.1Не указана
Oracle Corp.Oracle Financial Services Revenue Management and Billing Analytics2.8.0.0Не указана
Oracle Corp.Oracle Healthcare Foundation8.1Не указана
Oracle Corp.Hyperion Data Relationship Managementдо 11.2.8.0Не указана
Oracle Corp.Hyperion Infrastructure Technologyдо 11.2.8.0Не указана
Oracle Corp.Identity Management Suite12.2.1.3.0Не указана
Oracle Corp.Identity Management Suite12.2.1.4.0Не указана
Oracle Corp.Tuxedo12.2.2.0.0Не указана
Oracle Corp.Oracle E-Business Suite Cloud Manager and Cloud Backup Moduleдо 2.2.1.1.1 включительноНе указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана
Google IncAndroid Studio2025.2.3.9Не указана

Среды функционирования (3)

ВендорНазваниеВерсияПлатформа
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.4.3Не указана
АО «НТЦ ИТ РОСА»РОСА ХРОМ12.4Не указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана

Рекомендации по устранению

Использование рекомендаций: Для программных продуктов Apache Software Foundation: https://security.netapp.com/advisory/ntap-20220217-0007/ Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujul2022.html Для программных продуктов NetApp: https://security.netapp.com/advisory/ntap-20220217-0007/ Для ОС ОН «Стрелец»: Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17-7+deb9u2 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения apache-log4j1.2 до версии 1.2.17+repack-8+deb10u2.osnova1 Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2519

Источники (1)

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.8

Уточните SLA под вашу среду

Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации8.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2022-01-18

Опубликована

2023-10-27

Обновлена

2026-02-10

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2022-23305 MITRE: CWE-89 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-01708
Средний
2.0

Уязвимость функции commonprefix() модуля pip языка программирования Python, позволяющая нарушителю получить доступ на до

BDU:2026-01709
Средний
8.2

Уязвимость компонента org.assertj.core.util.xml.XmlStringPrettyFormatter Java-библиотеки для написания проверок в модуль

BDU:2026-00695
Средний
4.8

Уязвимость компонента RMI программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Oracle GraalV

BDU:2026-00681
Высокий
7.4

Уязвимость компонентов AWT и JavaFX программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Or

BDU:2026-00680
Высокий
7.5

Уязвимость компонента Security программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Oracle G

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0