edición general
7 meneos
107 clics

Actualización de Log4Shell: Segunda vulnerabilidad de log4j publicada (CVE-2021-44228 + CVE-2021-45046) [ENG]

Después de que los mantenedores de log4j lanzaran la versión 2.15.0 para abordar la vulnerabilidad de Log4Shell, se identificó un vector de ataque adicional y se informó en CVE-2021-45046. [..]Es posible que siga siendo vulnerable a Log4Shell (RCE) si solo habilitó el indicador noMsgFormatLookups o estableció %m{nolookups} cuando también estableció datos en ThreadContext con datos controlados por el atacante. En este caso, debe actualizar a 2.16.0 o de lo contrario seguirá siendo vulnerable a RCE.

| etiquetas: log4j , vulnerabilidad

menéame