PT-2021-5478 · Apache+5 · Apache Log4J2+6

Hideki Okamoto

·

Publicado

2021-12-18

·

Atualizado

2025-09-22

·

CVE-2021-45105

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Apache Log4j2 de 2.0-alpha1 a 2.16.0 (excluindo 2.12.3 e 2.3.1)
Descrição
A vulnerabilidade permite que um invasor com controle sobre os dados do Thread Context Map provoque uma negação de serviço quando uma string maliciosa é interpretada, devido à recursão descontrolada proveniente de consultas autorreferenciais. Isso pode levar a uma negação de serviço. O problema está relacionado à validação insuficiente de entradas na biblioteca de registro.
Recomendações
Para as versões do Apache Log4j2 de 2.0-alpha1 a 2.16.0 (excluindo 2.12.3 e 2.3.1), atualize para o Log4j 2.17.0, 2.12.3 ou 2.3.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao pacote org.apache.logging.log4j:log4j-core para minimizar o risco de exploração.
Certifique-se de que o pacote org.apache.logging.log4j:log4j-api seja mantido na mesma versão que o pacote org.apache.logging.log4j:log4j-core para garantir a compatibilidade, caso esteja em uso.

Exploit

Correção

DoS

RCE

Uncontrolled Recursion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-674

Identificadores relacionados

ALT-PU-2022-7659
BDU:2021-06325
CVE-2021-45105
DLA-2852-1
DSA-5024-1
GHSA-P6XC-XR62-6R2G
MGASA-2021-0572
OESA-2021-1474
OESA-2022-1956
OESA-2022-1957
OPENSUSE-SU-2021:1605-1
OPENSUSE-SU-2021:4118-1
OPENSUSE-SU-2021_1605-1
OPENSUSE-SU-2021_4118-1
OPENSUSE-SU-2024:11691-1
RHSA-2022:1296
RHSA-2022:1297
RHSA-2022:1462
RHSA-2022:1463
USN-5203-1
USN-5222-1
ZDI-21-1541

Produtos afetados

Apache Log4J2
Apache Struts
Astra Linux
Linuxmint
Red Os
Suse
Ubuntu