PT-2022-1423 · Apache+9 · Log4J+9
Publicado
2022-01-10
·
Atualizado
2026-05-27
·
CVE-2022-23302
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.x do Log4j
Descrição
O problema está relacionado à desserialização de dados não confiáveis no componente JMSSink do Log4j 1.x, o que pode levar à execução remota de código quando o invasor tem acesso de gravação à configuração do Log4j ou acesso a um serviço LDAP referenciado na configuração. Isso pode ser feito fornecendo uma configuração TopicConnectionFactoryBindingName especialmente criada, fazendo com que o JMSSink execute solicitações JNDI. O problema afeta apenas o Log4j 1.x quando configurado especificamente para usar o JMSSink, o que não é o padrão. Observa-se que o Apache Log4j 1.2 chegou ao fim de vida útil em agosto de 2015.
Recomendações
Para as versões 1.x do Log4j, atualize para o Log4j 2 para resolver esta e inúmeras outras falhas das versões anteriores. Como solução temporária, considere desativar o uso do JMSSink até que um patch esteja disponível. Restrinja o acesso à configuração do Log4j para minimizar o risco de exploração. Evite usar a configuração TopicConnectionFactoryBindingName nas versões afetadas do Log4j 1.x até que a falha seja resolvida.
Correção
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Jira
Linuxmint
Log4J
Red Hat
Rocky Linux
Suse
Ubuntu