漏洞描述
Log4j2是Apache的一个开源项目,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于JNDI远程加载类的地址。ApacheFlink 使用了该项目进行记录日志,攻击者通过构造恶意的代码即可利用该漏洞,从而导致服务器权限丢失
Apache Flink 文件上传 Log4j2 远程命令执行
PoC代码
暂无相关漏洞推荐
- flink-unauth-rce: Apache Flink Unauth RCE
- POC CVE-2020-17518: Apache Flink 1.5.1 - Local File Inclusion
- POC CVE-2020-17519: Apache Flink - Local File Inclusion
- POC CVE-2020-17518: Apache Flink 1.5.1 - Local File Inclusion
- POC CVE-2020-17519: Apache Flink RESTful API Arbitrary File Read
- POC apache-flink-unauth-rce: Apache Flink - Remote Code Execution
- Apache Flink 任意文件写入(CVE-2020-17518)
- Apache Flink 文件读取(CVE-2020-17519)