Después de que los mantenedores de log4j lanzaran la versión 2.15.0 para abordar la vulnerabilidad de Log4Shell, se identificó un vector de ataque adicional y se informó en CVE-2021-45046. [..]Es posible que siga siendo vulnerable a Log4Shell (RCE) si solo habilitó el indicador noMsgFormatLookups o estableció %m{nolookups} cuando también estableció datos en ThreadContext con datos controlados por el atacante. En este caso, debe actualizar a 2.16.0 o de lo contrario seguirá siendo vulnerable a RCE.
|
etiquetas: log4j , vulnerabilidad