继 CVE-2021-44228 和 CVE-2021-45046 之后发现的第三个 Log4 Shell 漏洞。
距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周,在此期间被记录的漏洞总共有两个,分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布:
不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。
与此同时,Praetorian 已将该漏洞的所有技术细节发送给 Apache 软件基金会,他们尚未透露更多细节。Praetorian 强烈建议使用者尽快升级到 2.16.0,但尚不清楚此错误是否已在 2.16.0 版本中解决。
Praetorian 研究人员也无法确定数据泄露漏洞的在野利用。他们没有提供有关该漏洞的其他详细信息,这是因为不希望黑客轻易利用漏洞。
研究人员提供了新漏洞的概念验证:https://www.youtube.com/watch?v=bxDEJDqANig
暂无回复。
