← volver
CVE-2021-45105

Apache Log4j2 does not always protect from infinite recursion in lookup evaluation

CVSS 5.9 MEDIUMEPSS 100.0%CWE-20CWE-674
En resumen

Apache Log4j2 en versiones anteriores a 2.17.0 es vulnerable a recursión infinita al procesar strings de búsqueda especialmente crafted en datos de contexto de thread. Un atacante que controle esos datos puede derribar la aplicación, causando negación de servicio.

Detalle técnico

La vulnerabilidad existe en el mecanismo de evaluación de lookups de Log4j2 (CWE-674: recursión descontrolada; CWE-20: validación inadecuada de entrada), donde los lookups autorreferenciados no están debidamente restringidos. Un atacante con acceso de escritura al Thread Context Map puede proporcionar una cadena maliciosa que dispare evaluación recursiva, agotando la memoria de pila y terminando el proceso afectado.

Resumen generado y traducido por IA a partir de la descripción oficial.
Apache Log4j2 versions 2.0-alpha1 through 2.16.0 (excluding 2.12.3 and 2.3.1) did not protect from uncontrolled recursion from self-referential lookups. This allows an attacker with control over Thread Context Map data to cause a denial of service when a crafted string is interpreted. This issue was fixed in Log4j 2.17.0, 2.12.3, and 2.3.1.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
Apache Software Foundation · Apache Log4j2

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdfhttps://cert-portal.siemens.com/productcert/pdf/ssa-501673.pdfhttps://logging.apache.org/log4j/2.x/security.htmlhttps://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032https://security.netapp.com/advisory/ntap-20211218-0001/https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbdhttps://www.debian.org/security/2021/dsa-5024https://www.kb.cert.org/vuls/id/930724https://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.htmlhttps://www.zerodayinitiative.com/advisories/ZDI-21-1541/