Open
Description
检测到 mincong-h/java-examples 一共引入了111个开源组件,存在85个漏洞
漏洞标题:Apache Log4j2 < 2.15.0远程代码执行漏洞
缺陷组件:org.apache.logging.log4j:[email protected]
漏洞编号:CVE-2021-44228
漏洞描述:Apache log4j是java中常用的日志记录组件,攻击者发现在小于2.15.0的版本中存在远程代码执行漏洞。
漏洞原因:
由于log4j2默认支持JNDI在内的Lookup查找机制,当日志内容中包含${foo.bar}样式的内容时,会查找相应的值进行替换。因此当用户请求中的内容通过log4j作为日志内容记录时,攻击者可能通过恶意构造的内容,触发log4j的lookup方法,进而执行恶意代码。
影响范围:[2.13.0, 2.15.0)
最小修复版本:2.17.0
缺陷组件引入路径:io.mincong:[email protected]>org.apache.logging.log4j:[email protected]
另外还有85个漏洞,详细报告:https://mofeisec.com/jr?p=i00ca4
Metadata
Metadata
Assignees
Labels
No labels