CVE-2022-23302 in Log4j
Tóm tắt
Bởi VulDB • 03/07/2026
JMSSink trong tất cả các phiên bản của Log4j 1.x dễ bị tổn thương trước việc giải mã hóa dữ liệu không đáng tin cậy khi kẻ tấn công có quyền ghi vào cấu hình Log4j hoặc nếu cấu hình tham chiếu đến một dịch vụ LDAP mà kẻ tấn công có thể truy cập. Kẻ tấn công có thể cung cấp tên liên kết TopicConnectionFactoryBindingName trong cấu hình, khiến JMSSink thực hiện các yêu cầu JNDI dẫn đến việc thực thi mã từ xa theo cách tương tự như CVE-2021-4104. Lưu ý rằng vấn đề này chỉ ảnh hưởng đến Log4j 1.x khi được định cấu hình cụ thể để sử dụng JMSSink, đây không phải là cài đặt mặc định. Apache Log4j 1.2 đã kết thúc vòng đời vào tháng 8 năm 2015. Người dùng nên nâng cấp lên Log4j 2 vì nó khắc phục nhiều vấn đề khác từ các phiên bản trước đó.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.