【重大漏洞】Log4j2-lookups功能-Dos

高危

Severity and Metrics

Base Score： —

Vector： —

Impact Score： —

Exploitability Score： —

【重大漏洞】Log4j2-lookups功能-Dos

EXP/POC/漏洞分析下载发布时间：2021-12-10 15:39:05 更新时间：2022-06-08 18:34:13

应用类型：WEB应用-Web组件

漏洞类型：内存缓冲区操作限制不当

提交时间：2021-12-10 15:02:38

发现时间：2021-12-10 00:00:00

漏洞描述

Apache Log4j 2.15.0-rc2在修复rc1版本的漏洞时修复不当，存在DOS漏洞。

相关编号

CVE编号：—

CNNVD编号：—

CNVD编号：—

影响版本

Apache Log4j 2.15.0-rc2

前置条件

复杂

1. 能够控制 org.slf4j.Logger 的 ERROR WARN INFO DEBUG TRACE 方法的部分参数值，且配置的日志级别优先级需要大于等于可控值对应方法（默认为INFO）。顺序从高到低依次为 ERROR WARN INFO DEBUG TRACE 。
2. 使用的 Layout 为 PatternLayout （默认）
3. 需要设置log4j2.formatMsgNoLookups = true（rc1开始默认关闭）

影响后果

拒绝服务

补丁修复信息

暂无

Exp漏洞截图及验证视频

Poc漏洞截图及验证视频

操作记录

2021-12-10 15:02:39

提交漏洞

2021-12-10 15:38:44

审核漏洞

2021-12-10 15:39:05

发布漏洞

近期提交漏洞

WordPress-Enable Media Replace插件-文件上传 WordPress-ShortPixel插件-SQL注入 QNAP HBS3-rsync-命令执行 CyberPanel-远程命令执行-命令执行 Apache Solr-PKIAuthenticationPlugin-未授权访问

安全星图平台专注于威胁情报的收集、处理、分析、应用，定期提供高质量的威胁情报。