PT-2021-5369 · Apache+6 · Apache Log4J2+7
Publicado
2021-12-14
·
Atualizado
2026-06-09
·
CVE-2021-45046
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Apache Log4j2 versão 2.15.0
Apache Log4j2 versões anteriores à 2.16.0 (Java 8)
Apache Log4j2 versões anteriores à 2.12.2 (Java 7)
Descrição
O problema está relacionado à desserialização de dados não confiáveis na biblioteca Apache Log4j2, o que pode ser explorado por invasores para executar código arbitrário remotamente ou localmente. Isso pode ocorrer quando a configuração de registro utiliza um Pattern Layout não padrão com um padrão Context Lookup ou Thread Context Map, permitindo que dados de entrada maliciosos sejam criados usando um padrão JNDI Lookup. Estima-se que tenham ocorrido 1,8 milhão de tentativas de explorar essa vulnerabilidade.
Recomendações
Para a versão 2.15.0 do Apache Log4j2, atualize para a versão 2.16.0 (Java 8) ou 2.12.2 (Java 7) para remover o suporte a padrões de pesquisa de mensagens e desativar a funcionalidade JNDI por padrão.
Como solução alternativa temporária, considere desativar o uso dos padrões Context Lookup e Thread Context Map na configuração de registro de logs até que um patch esteja disponível.
Restrinja o acesso à funcionalidade de registro de logs para minimizar o risco de exploração.
Exploit
Correção
RCE
DoS
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Log4J2
Apache Struts
Huawei Vrp
Linuxmint
Red Os
Suse
Symantec Endpoint Protection Server
Ubuntu