Apache Log4j 2.6.1 发现三个高危漏洞，最高CVSS评分10.0

一个关键的软件供应链警报：在广泛使用的 Apache Log4j 2.6.1 版本中发现了三个严重漏洞，其中 CVE-2021-44228 的 CVSS 风险评分达到最高的 10.0 分。该漏洞的利用成熟度被评估为“高”，且 EPSS（漏洞利用预测评分系统）评分高达 94.4%，表明其在野外被利用的可能性极高。这些漏洞存在于 `log4j-core-2.6.1.jar` 文件中，属于直接依赖，影响范围可能波及全球无数依赖此日志框架的 Java 应用程序和企业系统。

此次发现的漏洞并非孤立事件。除了臭名昭著的 Log4Shell (CVE-2021-44228) 外，该版本还包含另外两个高危漏洞：CVE-2017-5645（CVSS 9.8分）和另一个未完成的 CVE 条目。这些漏洞共同构成了一个严重的复合安全风险。根据报告，针对 CVE-2021-44228 的修复方案已经明确，建议升级至 `log4j-core` 的 2.3.1、2.12.2 或 2.15.0 版本；而 CVE-2017-5645 则需要升级至 2.8.2 或更高版本。报告明确指出，针对所有漏洞的修复方案均已可用。

这一发现对全球软件供应链和网络安全态势构成了持续压力。Log4j 作为 Java 生态系统的核心日志组件，其漏洞影响具有基础性和广泛性。尽管修复方案已发布多年，但旧版本组件（如 2.6.1）在遗留系统或未及时更新的依赖链中依然存在，构成了巨大的潜在攻击面。这提醒所有开发者和安全团队，必须持续进行软件物料清单（SBOM）管理和依赖项漏洞扫描，及时应用安全补丁，以缓解由过时、易受攻击的开源组件带来的系统性风险。