PT-2022-7038 · Apache+9 · Log4J+9
Daniel Martin
·
Publicado
2022-01-10
·
Atualizado
2026-05-27
·
CVE-2022-23305
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 1.2.x do Log4j
Descrição
O problema está relacionado ao JDBCAppender no Log4j, que aceita uma instrução SQL como parâmetro de configuração. Isso permite que invasores manipulem o código SQL inserindo strings maliciosas em campos de entrada ou cabeçalhos de uma aplicação que são registrados, possibilitando a execução de consultas SQL indesejadas. O problema afeta apenas o Log4j 1.x quando configurado especificamente para usar o JDBCAppender. O Apache Log4j 1.2 chegou ao fim de vida útil em agosto de 2015.
Recomendações
Para as versões 1.2.x do Log4j, atualize para o Log4j 2, pois ele corrige inúmeros outros problemas das versões anteriores, incluindo suporte adequado para consultas SQL parametrizadas e maior personalização das colunas gravadas nos logs.
Como solução temporária, considere desativar o JDBCAppender até que um patch esteja disponível ou a atualização para o Log4j 2 seja concluída.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Jira
Linuxmint
Log4J
Red Hat
Rocky Linux
Suse
Ubuntu