CVE-2022-23302 in Log4jthông tin

Tóm tắt

Bởi VulDB • 03/07/2026

JMSSink trong tất cả các phiên bản của Log4j 1.x dễ bị tổn thương trước việc giải mã hóa dữ liệu không đáng tin cậy khi kẻ tấn công có quyền ghi vào cấu hình Log4j hoặc nếu cấu hình tham chiếu đến một dịch vụ LDAP mà kẻ tấn công có thể truy cập. Kẻ tấn công có thể cung cấp tên liên kết TopicConnectionFactoryBindingName trong cấu hình, khiến JMSSink thực hiện các yêu cầu JNDI dẫn đến việc thực thi mã từ xa theo cách tương tự như CVE-2021-4104. Lưu ý rằng vấn đề này chỉ ảnh hưởng đến Log4j 1.x khi được định cấu hình cụ thể để sử dụng JMSSink, đây không phải là cài đặt mặc định. Apache Log4j 1.2 đã kết thúc vòng đời vào tháng 8 năm 2015. Người dùng nên nâng cấp lên Log4j 2 vì nó khắc phục nhiều vấn đề khác từ các phiên bản trước đó.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Đặt trước

16/01/2022

Tiết lộ

18/01/2022

Kiểm duyệt

được chấp nhận

EPSS

0.61785

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!