Apache Log4j 2.0-beta9 < 2.25.3 MitM
medium Nessus 插件 ID 282519
语言:
简介
远程主机上安装的日志库受到中间人漏洞的影响。描述
远程主机上的 Apache Log4j 版本为 2.0-beta9 至 2.25.2。Apache Log4j Core 版本 2.0-beta9 到 2.25.2 中的套接字 Appender 不执行对等机证书的 TLS 主机名验证即使 verifyHostName https://logging.apache.org/log4j/2.x/manual/appenders/network.html#SslConfiguration-attr-verifyHostName 配置属性或 log4j2.sslVerifyHostName https://logging.apache.org/log4j/2.x/manual/systemproperties.html#log4j2.sslVerifyHostName 系统属性设置为 true 时也是如此。此问题可能允许中间人攻击者在下列情况下拦截或重定向日志流量- 攻击者能够拦截或重定向客户端与日志接收器之间的网络流量。
- 攻击者可以提供受套接字 Appender 的配置信任存储信任的证书颁发机构颁发的服务器证书如果未配置自定义信任存储则由默认 Java 信任存储信任。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级至 Apache Log4j 2.25.3 或更高版本。另见
https://lists.apache.org/thread/xr33kyxq3sl67lwb61ggvm1fzc8k7dvx
插件详情
严重性: Medium
ID: 282519
文件名: apache_log4j_2_25_3.nasl
版本: 1.1
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/1/9
最近更新时间: 2026/1/9
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.0
CVSS v2
风险因素: Medium
基本分数: 5.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2025-68161
CVSS v3
风险因素: Medium
基本分数: 4.8
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞信息
CPE: cpe:/a:apache:log4j
必需的 KB 项: installed_sw/Apache Log4j
补丁发布日期: 2025/12/16
漏洞发布日期: 2025/12/18
参考资料信息
CVE: CVE-2025-68161
IAVA: 2026-A-0001