CVE-2021-44228Log4Shell
文档摘要
CVE-2021-44228 Log4Shell Apache Log4j2 2.14.1 及更早版本中,配置、日志消息和参数中使用的 JNDI 功能无法防范攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,能够控制日志消息或日志消息参数的攻击者可以从 LDAP 服务器加载并执行任意代码。 概述 易受攻击的代码 有效载荷 扫描 绕过 WAF 漏洞利用 环境变量泄露 远程命令执行 参考文献 易受攻击的代码 您可以在本地重现此漏洞: ,使用 christophetd/log4shell-vulnerable-app 或 leonjza/log4jpwn 有效载荷 扫描 log4j-scan Nuclei 模板 绕过 WAF 漏洞利用 环境变量泄露 远程命令执行
评论区
(0)
U