CVE-2021-44228(Log4j2.x-2.14.1远程代码执行)
1. 漏洞描述由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,通过JNDI注入漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞,从而成功利用此漏洞可以在目标服务器上执行任意代码。 2. 影响版本Apache Log4j 2.x - 2.14.1 3. 漏洞复现3.1 发送DNSLog请求${jndi:dn...
1. 漏洞描述由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,通过JNDI注入漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞,从而成功利用此漏洞可以在目标服务器上执行任意代码。 2. 影响版本Apache Log4j 2.x - 2.14.1 3. 漏洞复现3.1 发送DNSLog请求${jndi:dn...
1. 漏洞描述攻击者可以通过发送一个特别制作的二进制payload,在组件将字节反序列化为对象时,触发并执行构造的payload代码。该漏洞主要是由于在处理ObjectInputStream时,接收函数对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer 添加可配置的过滤功能以及一些相关设置,可以有效的解决该漏洞。 2. 影响版本Apa...