Apache Log4j — библиотека журналирования (логирования) Java-программ

Релизный цикл, информация об уязвимостях

Продукт: Apache Log4j

Вендор: apache

График релизов

Недавние уязвимости Apache Log4j

Количество 106

GHSA-jfh8-c2jp-5v3q

больше 3 лет назад

Remote code injection in Log4j

CVSS3: 10

EPSS: Критический

CVE-2021-4104

больше 3 лет назад

JMSAppender in Log4j 1.2 is vulnerable to deserialization of untrusted data when the attacker has write access to the Log4j configuration. The attacker can provide TopicBindingName and TopicConnectionFactoryBindingName configurations causing JMSAppender to perform JNDI requests that result in remote code execution in a similar fashion to CVE-2021-44228. Note this issue only affects Log4j 1.2 when specifically configured to use JMSAppender, which is not the default. Apache Log4j 1.2 reached end of life in August 2015. Users should upgrade to Log4j 2 as it addresses numerous other issues from the previous versions.

CVSS3: 7.5

EPSS: Высокий

BDU:2022-00031

больше 3 лет назад

Уязвимость реализации класса JMSAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю выполнить произвольный код

CVSS3: 6.6

EPSS: Высокий

BDU:2021-05969

больше 3 лет назад

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

CVSS3: 10

EPSS: Критический

CVE-2020-9493

около 4 лет назад

A deserialization flaw was found in Apache Chainsaw versions prior to 2.1.0 which could lead to malicious code execution.

CVSS3: 9.8

EPSS: Низкий

BDU:2021-06161

больше 4 лет назад

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостатками механизма десериализации, позволяющая нарушителю получить доступ к защищаемой информации и подменить объекты на стороне сервера

CVSS3: 9.1

EPSS: Низкий

BDU:2021-05940

больше 4 лет назад

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста

CVSS3: 9.1

EPSS: Критический

BDU:2021-05506

больше 4 лет назад

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить произвольный код

CVSS3: 9.8

EPSS: Низкий

BDU:2021-05502

больше 4 лет назад

CVSS3: 9.8

EPSS: Низкий

BDU:2021-05946

больше 4 лет назад

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнять команды на хосте

CVSS3: 9.9

EPSS: Высокий

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
GHSA-jfh8-c2jp-5v3q Remote code injection in Log4j	CVSS3: 10	94% Критический	больше 3 лет назад
CVE-2021-4104 JMSAppender in Log4j 1.2 is vulnerable to deserialization of untrusted data when the attacker has write access to the Log4j configuration. The attacker can provide TopicBindingName and TopicConnectionFactoryBindingName configurations causing JMSAppender to perform JNDI requests that result in remote code execution in a similar fashion to CVE-2021-44228. Note this issue only affects Log4j 1.2 when specifically configured to use JMSAppender, which is not the default. Apache Log4j 1.2 reached end of life in August 2015. Users should upgrade to Log4j 2 as it addresses numerous other issues from the previous versions.	CVSS3: 7.5	73% Высокий	больше 3 лет назад
BDU:2022-00031 Уязвимость реализации класса JMSAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю выполнить произвольный код	CVSS3: 6.6	73% Высокий	больше 3 лет назад
BDU:2021-05969 Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код	CVSS3: 10	94% Критический	больше 3 лет назад
CVE-2020-9493 A deserialization flaw was found in Apache Chainsaw versions prior to 2.1.0 which could lead to malicious code execution.	CVSS3: 9.8	0% Низкий	около 4 лет назад
BDU:2021-06161 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостатками механизма десериализации, позволяющая нарушителю получить доступ к защищаемой информации и подменить объекты на стороне сервера	CVSS3: 9.1	1% Низкий	больше 4 лет назад
BDU:2021-05940 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста	CVSS3: 9.1	91% Критический	больше 4 лет назад
BDU:2021-05506 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить произвольный код	CVSS3: 9.8	8% Низкий	больше 4 лет назад
BDU:2021-05502 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код	CVSS3: 9.8	4% Низкий	больше 4 лет назад
BDU:2021-05946 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнять команды на хосте	CVSS3: 9.9	87% Высокий	больше 4 лет назад

Уязвимостей на страницу