雷神眾測漏洞周報2021.12.13-2021.12.19-4

1. Apache Log4j 2多個漏洞

漏洞介紹：

Apache Log4j 2是一個基于Java的日志記錄工具，是對 Log4j 的升級。

漏洞危害：

CVE-2021-44228：Apache Log4j 2存在遠程代碼執(zhí)行漏洞，攻擊者可以通過構造惡意數(shù)據(jù)植入進日志記錄中時即可導致任意代碼執(zhí)行。官方針對該漏洞發(fā)布了log4j-2.15.0-rc2版本進行修復。

CVE-2021-45046：Apache Log4j 2 在線程上下文消息模式和上下文查找模式容易受到拒絕服務攻擊，攻擊者可構造惡意請求觸發(fā)該缺陷，從而引發(fā)業(yè)務中斷。

CVE-2021-4104：Apache Log4j 1.x版本在特定配置時存在JMSAppender反序列化代碼執(zhí)行漏洞，當攻擊者具有修改 Log4j 配置的權限時，JMSAppender容易受到不可信數(shù)據(jù)的反序列化，攻擊者可以使用特定配置利用JMSAppender執(zhí)行JNDI請求，從而造成遠程代碼執(zhí)行。

漏洞編號：

CVE-2021-44228

CVE-2021-45046

CVE-2021-4104

影響范圍：

CVE-2021-44228影響范圍：

從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.14.1 的所有版本

CVE-2021-45046影響范圍：

Apache Log4j2 2.0-beta9到2.12.1和2.13.0到2.15.0的所有版本均受影響（包括2.15.0-rc1及2.15.0-rc2）

CVE-2021-4104影響范圍：

Log4j 1.x

修復方案：

及時測試并升級到最新版本

來源：安恒信息應急響應中心

3.?FastAdmin存在文件上傳漏洞

漏洞介紹：

FastAdmin是一款基于ThinkPHP和Bootstrap的極速后臺開發(fā)框架。

漏洞危害：

FastAdmin存在文件上傳漏洞。攻擊者可利用該漏洞獲取服務器權限。

影響范圍：

深圳極速創(chuàng)想科技有限公司 FastAdmin V1.2.1.20210730_beta

修復建議：

及時測試并升級到最新版本或升級版本

來源：CNVD