CNVD-ID	CNVD-2021-95919
公开日期	2021-12-10
危害级别	高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
影响产品	Apache Log4j2 >=2.0，<=2.15.0-rc1
漏洞描述	Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。 Apache Log4j2存在远程代码执行漏洞，攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。
漏洞类型	通用型漏洞
参考链接
漏洞解决方案	目前厂商已提供相关漏洞补丁链接，请关注以下及时更新： https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
厂商补丁	Apache Log4j2存在远程代码执行漏洞的补丁
验证信息	(暂无验证信息)
报送时间	2021-12-10
收录时间	2021-12-10
更新时间	2021-12-10
漏洞附件	附件暂不公开
在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。