CVE-2021-44832 – APACHE LOG4J 2.17.0 通过 JDBCAPPENDER 数据源元素RCE

http://mpvideo.qpic.cn/0bc32maacaaapyalogolpzqvbu6dahjqaaia.f10002.mp4?dis_k=5abf61ff425e5e40731c1b7c65cdb2ad&dis_t=1642501885&vid=wxv_2200302600145666050&format_id=10002&support_redirect=0&mmversion=false

log4shell 漏洞（又名CVE-2021-44228）对行业的影响是巨大的，许多组织都宣称他们受到了影响。这证明了在其生态系统中使用 log4j 的公司的规模之大。

Apache 的 log4j 团队努力将安全补丁添加到最新的 log4j 版本 (2.17.0) 以禁用查找并允许协议/主机列表。如您所见，使用不同的攻击向量，仍然可以使用默认配置实现任意代码执行.

修复建议：

将 Apache Log4j2 升级到 2.17.1、2.12.4 和 2.3.2 或更高版本。

原文链接：

https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/