漏洞标题
当攻击者控制配置时,Apache Log4j2 可以通过 JDBC Appender 进行 RCE。
漏洞描述信息
Apache Log4j2在攻击者控制配置的情况下,通过JDBC Appender存在远程代码执行(RCE)漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration
漏洞描述信息
Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remote code execution (RCE) attack when a configuration uses a JDBC Appender with a JNDI LDAP data source URI when an attacker has control of the target LDAP server. This issue is fixed by limiting JNDI data source names to the java protocol in Log4j2 versions 2.17.1, 2.12.4, and 2.3.2.
CVSS信息
N/A
漏洞类别
输入验证不恰当
漏洞标题
Apache Log4j 输入验证错误漏洞
漏洞描述信息
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4j2 2.0-beta7 到 2.17.0版本存在注入漏洞,该漏洞源于软件中对于JDBC Appender 和JNDI 缺少有效的防护与过滤。有权修改日志配置文件的攻击者可以构建恶意配置 将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。
CVSS信息
N/A
漏洞类别
输入验证错误