CVE-2021-44228

Nome do Software Vulnerável e Versões Afetadas Apache Log4j2 versões 2.0-beta9 até 2.15.0

Description A validação insuficiente de entrada nos recursos JNDI do componente log4j-core permite que um invasor remoto execute código arbitrário. Quando a substituição de busca de mensagens está habilitada, um invasor que possa controlar as mensagens de log ou seus parâmetros pode disparar a execução de código malicioso carregado de servidores LDAP e outros endpoints relacionados ao JNDI. Em certas configurações não padrão, isso também pode ser alcançado controlando os dados de entrada do Thread Context Map (MDC) ao usar um Pattern Layout não padrão com uma Context Lookup (ex: $${ctx:loginId}) ou um padrão de Thread Context Map (%X, %mdc ou %MDC), resultando potencialmente em execução remota de código ou negação de serviço. A exploração no mundo real foi observada em vários ambientes, incluindo servidores de Minecraft e como um vetor de entrada inicial para grupos de ransomware como o Masque para atingir infraestruturas corporativas via serviços como o VMware Horizon.

Recommendations Para as versões 2.0-beta9 até 2.15.0, atualize para a versão 2.16.0 ou posterior. Como solução temporária para versões anteriores à 2.16.0, remova a classe JndiLookup do classpath.