آسیبپذیری جدیدی با عنوان CVE-۲۰۲۱-۴۴۲۲۸ در Apache Log۴j۲ مشاهده شده است که امکان اجرای کد از راه دور را برای مهاجم فراهم میکند و شدت این آسیبپذیری نیز بحرانی گزارش شده است.
Apache Log4j2 2.0-beta9 تا ورژن 2.15.0 (به استثنای نسخههای امنیتی 2.12.2، 2.12.3 و 2.3.1) ویژگیهای JNDI که در پیکربندی، پیامهای گزارش و پارامترها استفاده میشوند در برابر LDAP کنترلشده مهاجم و سایر نقاط پایانی مرتبط با JNDI محافظت شوند. مهاجمی که میتواند پیامهای گزارش یا پارامترهای پیام گزارش را کنترل کند، میتواند کد دلخواه بارگیری شده از سرورهای LDAP را زمانی که جایگزینی جستجوی پیام فعال است، اجرا کند. از نسخه 2.15.0 بع بعد، log4j این رفتار به طور پیش فرض غیرفعال شده است. از نسخه 2.16.0 (به همراه 2.12.2، 2.12.3 و 2.3.1) این قابلیت به طور کامل حذف شده است. توجه داشته باشید که این آسیبپذیری مختص log4j-core است و روی log4net، log4cxx یا سایر پروژههای Apache Logging Services تأثیری ندارد.
اطلاعات بیشتر را میتوانید در این لینک مشاهده کنید اما در حال حاضر باید منتظر ارائه آپدیت جدید باشید تا از مشکل را برطرف نمایید