Log4j 2.6.1 Jar 曝出 3 个高危漏洞，最高 CVSS 10.0 分，修复方案已发布

一份来自代码依赖扫描的报告显示，Apache Log4j 2.6.1 版本的核心库 `log4j-core-2.6.1.jar` 存在三个严重漏洞，其中最高严重性评分为 CVSS 10.0 满分。该版本作为直接依赖项被广泛使用，意味着大量基于 Java 的应用程序和服务面临潜在远程代码执行风险。漏洞利用成熟度被评估为“高”，且利用预测评分系统（EPSS）显示攻击概率高达 94.4%，表明该组件已成为活跃攻击的明确目标。

具体漏洞包括臭名昭著的 Log4Shell（CVE-2021-44228，CVSS 10.0）、CVE-2021-45046 以及一个更早的 CVE-2017-5645（CVSS 9.8）。报告明确指出，这些漏洞均存在于该特定版本的直接依赖中，而非间接传递。尽管漏洞严重，但报告同时提供了明确的修复路径，指出所有漏洞均有可用的修复版本，例如升级至 `log4j-core:2.15.0` 或更高版本即可解决最严重的 Log4Shell 问题。

对于依赖此旧版本 Log4j 的企业和开发者而言，这份报告构成了直接且紧迫的行动指令。未及时升级的系统和应用将持续暴露在极高风险之下，可能成为供应链攻击的入口点。虽然修复方案明确，但关键在于识别并更新所有遗留项目中的该脆弱依赖项，这一过程在复杂的企业环境中往往充满挑战。安全团队需立即审查其软件物料清单（SBOM），定位所有受影响的实例并强制执行升级策略。