Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4j 存在SQL注入漏洞,该漏洞源于Log4j 1.2.x中的JDBCAppender接受SQL语句作为配置参数,其中要插入的值是来自 PatternLayout 的转换器。 消息转换器 \\%m 可能总是包含在内。 攻击者可利用该漏洞通过将精心制作的字符串输入到记录的应用程序的输入字段或标题中来操纵SQL,从而允许执行意外的SQL查询。
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4j 存在SQL注入漏洞,该漏洞源于Log4j 1.2.x中的JDBCAppender接受SQL语句作为配置参数,其中要插入的值是来自 PatternLayout 的转换器。 消息转换器 \\%m 可能总是包含在内。 攻击者可利用该漏洞通过将精心制作的字符串输入到记录的应用程序的输入字段或标题中来操纵SQL,从而允许执行意外的SQL查询。