log4j2漏洞

https://zhuanlan.zhihu.com/p/443575682

復現代碼

/**
 * @author xiaobai
 */
@RequestMapping("/test")
@RestController
@Slf4j
public class TestController {

    private static Logger getLoggerName() {
        return LoggerFactory.getLogger("userMetadataTo");
    }

    /**
     * testMsgSend
     *
     * @param user user
     * @return ResponseEntity
     */
    @PostMapping("/msg")
    public ResponseEntity testMsgSend(@RequestBody User user) {
        Logger logger = getLoggerName();
        logger.info(user.getUsername());
        return ResponseEntity.ok().build();

    }

}

風險代碼

沒有設置-Dlog4j2.formatMsgNoLookups時此處noLookups為false，因此可以進入該判斷

分析調用鏈，可以看到最終調用了JndiLookup.lookup執行ldap指令

臨時解決方案

設置-Dlog4j2.formatMsgNoLookups=true

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Log4J2 漏洞和 Spring Boot log4j2 臨時解決辦法 log4j2高危漏洞 Log4j2漏洞復現 LOG4j2 漏洞復現 log4j2 漏洞解析 log4j2漏洞復現 log4j2漏洞解決辦法 Apache Log4j2漏洞復現 Log4j2 漏洞實戰案例 log4j2安全漏洞