Apache Log4j — библиотека журналирования (логирования) Java-программ
Релизный цикл, информация об уязвимостях
График релизов
Количество 106
GHSA-jfh8-c2jp-5v3q
Remote code injection in Log4j
CVE-2021-4104
JMSAppender in Log4j 1.2 is vulnerable to deserialization of untrusted data when the attacker has write access to the Log4j configuration. The attacker can provide TopicBindingName and TopicConnectionFactoryBindingName configurations causing JMSAppender to perform JNDI requests that result in remote code execution in a similar fashion to CVE-2021-44228. Note this issue only affects Log4j 1.2 when specifically configured to use JMSAppender, which is not the default. Apache Log4j 1.2 reached end of life in August 2015. Users should upgrade to Log4j 2 as it addresses numerous other issues from the previous versions.
BDU:2021-05969
Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2022-00031
Уязвимость реализации класса JMSAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю выполнить произвольный код
CVE-2020-9493
A deserialization flaw was found in Apache Chainsaw versions prior to 2.1.0 which could lead to malicious code execution.
BDU:2021-05486
Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-05940
Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста
BDU:2021-05501
Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста
BDU:2021-05506
Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить произвольный код
BDU:2021-05502
Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
| GHSA-jfh8-c2jp-5v3q Remote code injection in Log4j | CVSS3: 10 | 94% Критический | больше 3 лет назад |
 | CVE-2021-4104 JMSAppender in Log4j 1.2 is vulnerable to deserialization of untrusted data when the attacker has write access to the Log4j configuration. The attacker can provide TopicBindingName and TopicConnectionFactoryBindingName configurations causing JMSAppender to perform JNDI requests that result in remote code execution in a similar fashion to CVE-2021-44228. Note this issue only affects Log4j 1.2 when specifically configured to use JMSAppender, which is not the default. Apache Log4j 1.2 reached end of life in August 2015. Users should upgrade to Log4j 2 as it addresses numerous other issues from the previous versions. | CVSS3: 7.5 | 73% Высокий | больше 3 лет назад |
 | BDU:2021-05969 Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код | CVSS3: 10 | 94% Критический | больше 3 лет назад |
| BDU:2022-00031 Уязвимость реализации класса JMSAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю выполнить произвольный код | CVSS3: 6.6 | 73% Высокий | больше 3 лет назад |
 | CVE-2020-9493 A deserialization flaw was found in Apache Chainsaw versions prior to 2.1.0 which could lead to malicious code execution. | CVSS3: 9.8 | 0% Низкий | около 4 лет назад |
| BDU:2021-05486 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию | CVSS3: 8.6 | 4% Низкий | больше 4 лет назад |
| BDU:2021-05940 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста | CVSS3: 9.1 | 90% Критический | больше 4 лет назад |
| BDU:2021-05501 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста | CVSS3: 9.8 | 2% Низкий | больше 4 лет назад |
| BDU:2021-05506 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить произвольный код | CVSS3: 9.8 | 6% Низкий | больше 4 лет назад |
| BDU:2021-05502 Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код | CVSS3: 9.8 | 3% Низкий | больше 4 лет назад |
Уязвимостей на страницу