Apache Log4j 2.6.1 发现三个高危漏洞，最高CVSS评分10.0

在开源依赖扫描中，Apache Log4j 2.6.1版本被标记存在三个高危漏洞，其中CVE-2021-44228的CVSS评分达到满分10.0，且漏洞利用成熟度被评估为“高”。该漏洞允许攻击者通过特制的日志消息远程执行任意代码，对全球范围内使用此版本日志框架的Java应用程序构成严重威胁。同时被发现的还有CVE-2017-5645（CVSS 9.8分）和另一个未在摘要中完全显示的漏洞，这些漏洞均属于直接依赖项，意味着风险直接暴露。

此次扫描的漏洞库文件为`log4j-core-2.6.1.jar`，其路径指向一个示例项目的Maven配置文件。CVE-2021-44228即臭名昭著的“Log4Shell”漏洞，曾在全球引发大规模安全危机。扫描报告显示，针对这些漏洞的修复版本已经可用，例如对于CVE-2021-44228，可升级至log4j-core的2.3.1、2.12.2或2.15.0等安全版本。报告还提供了每个漏洞的EPSS（漏洞利用预测评分系统）分数，均超过94%，表明在野外被利用的可能性极高。

对于任何仍在使用Log4j 2.6.1或更早版本的开发团队和组织而言，这份报告是一个明确的紧急行动信号。尽管修复方案已存在，但遗留系统中未及时更新的依赖项仍是巨大的攻击面。这凸显了软件供应链安全管理的持续挑战，以及自动化漏洞扫描在DevOps流程中的关键作用。忽视此类高危依赖警告，可能导致关键系统被远程控制、数据泄露或服务中断。