← Menace / CVE-2021-44228
CVE-2021-44228
Critique Ransomware
Apache Log4j2 Remote Code Execution Vulnerability.
Apache · Log4j2
Exploitabilité (EPSS)
100 %
percentile mondial 100
Sévérité (CVSS)
10
CVSS v3.1
Ajoutée au KEV
10 déc. 2021
échéance CISA · 24 déc. 2021
Description
Apache Log4j2 contains a vulnerability where JNDI features do not protect against attacker-controlled JNDI-related endpoints, allowing for remote code execution.
Action requise (CISA)
For all affected software assets for which updates exist, the only acceptable remediation actions are: 1) Apply updates; OR 2) remove affected assets from agency networks. Temporary mitigations using one of the measures provided at https://www.cisa.gov/uscert/ed-22-02-apache-log4j-recommended-mitigation-measures are only acceptable until updates are available.
Familles de faiblesses
CWE-20 · Validation d’entrée insuffisante
CWE-400 · CWE-400
CWE-502 · Désérialisation de données non fiables
Signal de priorisation (inspiré SSVC)
Agir en priorité
Exploitation
Active (catalogue KEV)
Active (catalogue KEV)
Automatisable
Oui
Oui
Impact technique
Total
Total
Orientation, pas une décision : le 4ᵉ facteur SSVC (impact mission/société) dépend du contexte de votre organisation. Méthode ↗