←返回安全公告
Apache Log4j2 远程代码执行漏洞
摘要:
Apache Log4j2 组件存在远程代码执行漏洞,攻击者可通过构造恶意请求触发 JNDI 注入并执行代码。
CVSS (Base Score):
10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
攻击条件:
攻击者可在目标系统可达且记录可控输入日志的条件下,构造恶意字符串触发 Log4j2 JNDI 查找机制,进而执行远程代码。
风险:
该漏洞可能导致服务器被远程控制,造成信息泄露、服务中断及横向移动等安全风险。
影响范围:
影响使用受漏洞版本 Log4j2(尤其 2.0-beta9 至 2.14.1)的 Java 服务与其相关组件。
修复方案:
已升级 Log4j2 至官方安全版本(建议 2.17.1 或更高),并按官方指导禁用高风险查找功能,同时开展全量排查与应急加固。
致谢
感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。