CVE-2021-45046

Apache Log4j2 sérülékenysége
Angol cím: Apache Log4j2 vulnerability

Publikálás dátuma: 2021.12.14.
Utolsó módosítás dátuma: 2022.10.06.


Leírás

Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.

Leírás forrása: CWE-502


Elemzés leírás

Eredeti nyelven: It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in an information leak and remote code execution in some environments and local code execution in all environments. Log4j 2.16.0 (Java 8) and 2.12.2 (Java 7) fix this issue by removing support for message lookup patterns and disabling JNDI functionality by default.

Elemzés leírás forrása: CVE-2021-45046


Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9 (Kritikus)
Vector: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Impact Score: 6
Exploitability Score: 2.2


Attack Vector (AV): Network
Attack Complexity (AC): High
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Sérülékeny szoftverek

Apache Software Foundation Log4j 2.0.1-tól 2.12.2 előttig
Apache Software Foundation Log4j 2.13.0-tól 2.16.0 előttig
Apache Software Foundation Log4j 2.0
Apache Software Foundation Log4j Beta9 2.0
Apache Software Foundation Log4j Release Candidate 1 2.0
Apache Software Foundation Log4j Release Candidate 2 2.0
Intel Audio Development Kit
Intel Computer Vision Annotation Tool
Intel Datacenter Manager
Intel Genomics Kernel Library
Intel Oneapi for Eclipse
Intel Secure Device Onboard
Intel Sensor Solution Firmware Development Kit
Intel System Debugger
Intel System Studio
siemens / sppa-t3000 ses3000 firmware
Siemens SPPA-T3000 SeS3000 nem érintett
siemens / captial 2019.1 előttig
Siemens Captial 2019.1
Siemens Captial Service Pack 1912 2019.1
Siemens COMOS Update 457
Siemens Desigo CC Advanced Reports 4.0
Siemens Desigo CC Advanced Reports 4.1
Siemens Desigo CC Advanced Reports 4.2
Siemens Desigo CC Advanced Reports 5.0
Siemens Desigo CC Advanced Reports 5.1
Siemens Desigo Cc Info Center 5.0
Siemens Desigo Cc Info Center 5.1
siemens / e-car operation center 2021-12-13 előttig
Siemens Energy Engage 3.1
Siemens EnergyIP 8.5
Siemens EnergyIP 8.6
Siemens EnergyIP 8.7
Siemens EnergyIP 9.0
siemens / energyip prepay 3.7
siemens / energyip prepay 3.8
siemens / gma-manager 8.6.2j-398 előttig
Siemens Head-end System Universal Device Integration System
Siemens Industrial Edge Management
siemens / industrial edge management hub 2021-12-13 előttig
Siemens Logo! Soft Comfort
siemens / mendix
siemens / mindsphere 2021-12-11 előttig
siemens / navigator 2021-12-13 előttig
siemens / nx
Siemens Opcenter Intelligence
siemens / operation scheduler
Siemens SENTRON powermanager 4.1
Siemens SENTRON powermanager 4.2
Siemens SIGUARD DSA 4.2
Siemens SIGUARD DSA 4.3
Siemens SIGUARD DSA 4.4
Siemens SiPass Integrated 2.80
Siemens SiPass Integrated 2.85
siemens / siveillance command
siemens / siveillance control pro
Siemens Siveillance Identity 1.5
Siemens Siveillance Identity 1.6
Siemens Siveillance Vantage
siemens / siveillance viewpoint
siemens / solid edge cam pro
siemens / solid edge harness design 2020 előttig
Siemens Solid Edge Harness Design 2020
Siemens Solid Edge Harness Design 2020
Siemens Solid Edge Harness Design Service Pack 2002 2020
Siemens Spectrum Power 4 4.70 előttig
Siemens Spectrum Power 4 4.70
Siemens Spectrum Power 4 Service Pack 7 4.70
Siemens Spectrum Power 4 Service Pack 8 4.70
Siemens Spectrum Power 7 2.30 előttig
Siemens Spectrum Power 7 2.30
Siemens Spectrum Power 7 2.30
Siemens Spectrum Power 7 Service Pack 2 2.30
Siemens Teamcenter
Siemens TraceAlertServerPLUS
Siemens Vesys 2019.1 előttig
Siemens Vesys 2019.1
Siemens Vesys 2019.1
Siemens Vesys Service Pack 1912 2019.1
Siemens Xpedition Enterprise
Siemens Xpedition Package Integrator
Debian Linux 10.0
Debian Debian Linux 11.0
Sonicwall Email Security 10.0.12 előttig
Fedoraproject Fedora 34
Fedora 35
Siemens 6BK1602-0AA12-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA12-0TP0 nem érintett
Siemens 6BK1602-0AA22-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA22-0TP0 nem érintett
Siemens 6BK1602-0AA32-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA32-0TP0 nem érintett
Siemens 6BK1602-0AA42-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA42-0TP0 nem érintett
Siemens 6BK1602-0AA52-0TP0 Firmware 2.7.0 előttig
Siemens 6BK1602-0AA52-0TP0 nem érintett

Címkék

Log4j Log4j


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »