基本信息
漏洞编号: CVE-2021-44228
危险等级:危急 (CVSS v3.0: 9.8-10.0)
影响版本: Apache Log4j2 2.0-beta9 至 2.14.1
受影响组件: log4j-core
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
Apache Log4j2中存在JNDI注入漏洞,攻击者可以通过构造恶意的JNDI LDAP请求来执行恶意代码执行,该漏洞影响范围广,由于Log4j2广泛用于于各种Java应用中,该漏洞影响范围极其广泛,利用门槛低,威胁程度高。
影响范围
影响版本
Apache Log4j 2.0-beta9 through 2.14.1
受影响的产品
- SpringBoot相关项目
- Apache Struts2
- Apache Solr
- Apache Druid
- Elasticsearch
- Minecraft服务器
验证方法
- 检查pom.xml文件中log4j-core的版本
- 检查lib目录下log4j-core-*.jar的版本
修复方案
方案一:版本升级(推荐)
<dependency> groupId>org.apache.logging.log4j</groupId> <version>2.15.0</version></dependency>
方案二:临时修复
<dependency> groupId>org.apache.logging.log4j</groupId> <version>2.15.0</version></dependency>