log4j2 简介
log4j2 是 Java 平台上一种流行的日志管理框架,也是 log4j 的升级版本。它提供了高度灵活和可配置的日志记录功能,可以用于在应用程序中生成、管理和输出日志信息。
漏洞描述
Apache Log4j 是 Apache 的一个开源项目,Apache log4j2 是 Log4j 的升级版本,用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
Log4j2 中存在 JNDI 注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。该漏洞影响 Apache Struts、Apache Solr、Apache Druid、Apache Filnk 等众多组件,漏洞影响面大,危害性高。
漏洞适用版本
2.0 <= Apache log4j2 <= 2.14.1