It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in an information leak and remote code execution in some environments and local code execution in all environments. Log4j 2.16.0 (Java 8) and 2.12.2 (Java 7) fix this issue by removing support for message lookup patterns and disabling JNDI functionality by default.
oryginał ENCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HApache Log4j
APPApache2.02.0.1 – 2.12.2 (bez)2.13.0 – 2.16.0 (bez)Cvat Computer Vision Annotation Tool
APPCvatwszystkie wersjeDebian
OSDebian10.011.0Fedora Project Fedora
OSFedoraproject3435Intel Audio Development Kit
APPIntelwszystkie wersjeIntel Datacenter Manager
APPIntelwszystkie wersjeIntel Genomics Kernel Library
APPIntelwszystkie wersjeIntel Oneapi
APPIntelwszystkie wersjeIntel Secure Device Onboard
APPIntelwszystkie wersjeIntel Sensor Solution Firmware Development Kit
APPIntelwszystkie wersjeIntel System Debugger
APPIntelwszystkie wersjeIntel System Studio
APPIntelwszystkie wersjeSiemens 6bk1602 0aa12 0tp0
HWSiemenswszystkie wersjeSiemens 6bk1602 0aa12 0tp0 Firmware
OSSiemens< 2.7.0Siemens 6bk1602 0aa22 0tp0
HWSiemenswszystkie wersjeSiemens 6bk1602 0aa22 0tp0 Firmware
OSSiemens< 2.7.0Siemens 6bk1602 0aa32 0tp0
HWSiemenswszystkie wersjeSiemens 6bk1602 0aa32 0tp0 Firmware
OSSiemens< 2.7.0Siemens 6bk1602 0aa42 0tp0
HWSiemenswszystkie wersjeSiemens 6bk1602 0aa42 0tp0 Firmware
OSSiemens< 2.7.0Siemens 6bk1602 0aa52 0tp0
HWSiemenswszystkie wersjeSiemens 6bk1602 0aa52 0tp0 Firmware
OSSiemens< 2.7.0Siemens Captial
APPSiemens2019.1< 2019.1Siemens Comos
APPSiemenswszystkie wersjeSiemens Desigo Cc Advanced Reports
APPSiemens4.04.14.25.05.1Siemens Desigo Cc Info Center
APPSiemens5.05.1Siemens E Car Operation Center
APPSiemens< 2021-12-13Siemens Energy Engage
APPSiemens3.1Siemens Energyip
APPSiemens8.58.68.79.0Siemens Energyip Prepay
APPSiemens3.73.8
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- Log4j2
- Data dodania do KEVi
- 1 maja 2023
- Termin remediation (USA)i
- 22 maja 2023(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Apache Log4j2 zawiera lukę związaną z deserializacją niezaufanych danych wynikającą z niepełnej naprawy CVE-2021-44228, w której Thread Context Lookup Pattern jest podatny na zdalne wykonanie kodu w pewnych konfiguracjach niebędących domyślnymi.
▸ Pokaż oryginał (EN)
Apache Log4j2 contains a deserialization of untrusted data vulnerability due to the incomplete fix of CVE-2021-44228, where the Thread Context Lookup Pattern is vulnerable to remote code execution in certain non-default configurations.
Powiązane podatności
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki