Log4j 2.6.1 Jar 内嵌三大高危漏洞，CVE-2021-44228 评分达10.0 [main]

一份来自 GitHub 依赖扫描的自动化报告揭示，一个广泛使用的旧版 Apache Log4j 核心库 jar 文件内嵌了三个已知的严重漏洞，其中 CVE-2021-44228（Log4Shell）的 CVSS 评分高达满分 10.0。该漏洞的利用成熟度被评估为“高”，且 EPSS（漏洞被利用概率评分）高达 94.4%，表明其被主动利用的风险极高。这份报告直接指向项目依赖文件 `/pom.xml` 中引用的 `log4j-core-2.6.1.jar`，意味着任何仍在使用此版本的项目都暴露在远程代码执行的严重威胁之下。

报告详细列出了三个漏洞：除了臭名昭著的 Log4Shell (CVE-2021-44228)，还包括 CVE-2017-5645（CVSS 9.8）和 CVE-2021-45046。所有漏洞均被标记为“直接”依赖项中的“关键”级别。值得注意的是，报告明确指出这些漏洞已有官方修复版本可用，例如 Log4Shell 已在 `log4j-core` 的 2.3.1、2.12.2 和 2.15.0 等版本中得到修复。然而，扫描结果直接表明，当前项目配置仍停留在存在致命缺陷的 2.6.1 版本。

这一发现远非孤例，而是对数百万仍在使用易受攻击的 Log4j 旧版本的应用和系统发出的又一次尖锐警报。它凸显了软件供应链安全中一个持续存在的致命弱点：即便补丁已发布多年，过时且包含已知高危漏洞的组件仍可能被无意中打包和部署。对于依赖此类开源组件的企业而言，这构成了持续的运营和安全合规风险，迫使开发和安全团队必须立即审查并升级其依赖项，以关闭这一敞开的攻击面。