Apache Log4j 远程代码执行 (Log4Shell)

critical Web App Scanning 插件 ID 113075

简介

Apache Log4j 远程代码执行 (Log4Shell)

描述

Apache Log4j 是一个基于 Java 的开放源代码日志框架,可在众多 Java 应用程序中使用。Apache Log4j versions 2.0-beta9 至 2.15.0 中存在漏洞,这是由于处理用户控制的输入时对消息查找替换的保护不足所致。通过构建恶意字符串,攻击者可利用此问题在目标应用程序使用的 Log4j 实例上实现远程代码执行。

解决方案

升级至 2.16.0 或更高版本。

另见

https://logging.apache.org/log4j/2.x/security.html

https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/

https://www.lunasec.io/docs/blog/log4j-zero-day/

插件详情

严重性: Critical

ID: 113075

类型: remote

发布时间: 2021/12/11

最近更新时间: 2024/3/6

扫描模板: api, basic, full, log4shell, pci, scan

风险信息

VPR

风险因素: Critical

分数: 10.0

CVSS v2

风险因素: High

基本分数: 9.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2021-44228

CVSS v3

风险因素: Critical

基本分数: 10

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 分数来源: CVE-2021-44228

漏洞信息

CPE: cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:*

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/12/10

漏洞发布日期: 2021/12/9

CISA 已知可遭利用的漏洞到期日期: 2021/12/24, 2023/5/22

参考资料信息

CVE: CVE-2021-44228, CVE-2021-45046