Описание
The Apache Log4j hotpatch package before log4j-cve-2021-44228-hotpatch-1.1-13 didn’t mimic the permissions of the JVM being patched, allowing it to escalate privileges.
Ссылки
- Vendor Advisory
- Vendor Advisory
- ExploitThird Party Advisory
- Vendor Advisory
- Vendor Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.1-13 (исключая)
Одновременно
cpe:2.3:a:amazon:log4jhotpatch:*:*:*:*:*:*:*:*
cpe:2.3:a:linux:linux_kernel:-:*:*:*:*:*:*:*
EPSS
Процентиль: 22%
0.00069
Низкий
8.8 High
CVSS3
7.2 High
CVSS2
Дефекты
CWE-250
CWE-269
Связанные уязвимости
CVSS3: 8.8
github
около 3 лет назад
The Apache Log4j hotpatch package before log4j-cve-2021-44228-hotpatch-1.1-12 didn’t mimic the permissions of the JVM being patched, allowing it to escalate privileges.
CVSS3: 8.8
fstec
около 3 лет назад
Уязвимость программы для журналирования Java-программ Log4j , связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии
EPSS
Процентиль: 22%
0.00069
Низкий
8.8 High
CVSS3
7.2 High
CVSS2
Дефекты
CWE-250
CWE-269