Куда я попал?
CVE-2021-44832
PUBLISHED
04.08.2024
CNA: apache
Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration
Обновлено:
25.07.2022
Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remote code execution (RCE) attack when a configuration uses a JDBC Appender with a JNDI LDAP data source URI when an attacker has control of the target LDAP server. This issue is fixed by limiting JNDI data source names to the java protocol in Log4j2 versions 2.17.1, 2.12.4, and 2.3.2.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-20 | Некорректная проверка входных данных |
| CWE-74 | CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2022-00044 | Уязвимость библиотеки журналирования Java-программ Apache Log4j2, связанная с отсутствием дополнительных элементов управления доступом JNDI, позволяющая нарушителю выполнить произвольный код |
Доп. Информация
Product Status
| Apache Log4j2 | |||||
|---|---|---|---|---|---|
| Product: | Apache Log4j2 | ||||
| Vendor: | Apache Software Foundation | ||||
| Default status: | Не определен | ||||
| Версии: |
|
||||
Ссылки
CVE Program Container
Обновлено:
04.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.