Apache Log4j 2.20.0 版本曝出三个新漏洞，最高严重性达 5.8 分

Apache Log4j 2 日志框架再次拉响安全警报。在广泛使用的 `log4j-slf4j2-impl-2.20.0.jar` 库中，发现了三个安全漏洞，其中最高严重性评分为 5.8 分（中危）。这些漏洞直接存在于核心依赖 `log4j-core-2.20.0.jar` 中，影响所有使用该版本绑定的 Spring Boot 等 Java 应用。尽管漏洞的利用成熟度尚未明确，但其存在本身已构成潜在风险，尤其对于未及时更新依赖的庞大遗留系统。

具体漏洞包括 CVE-2026-34480（CVSS 5.8）和 CVE-2025-68161（CVSS 4.0）。扫描报告显示，这些漏洞目前尚无官方修复版本可用，标记为“修复不可用”。这意味着依赖此版本 Log4j 的项目面临直接暴露风险，且短期内缺乏官方补丁作为缓解措施。漏洞的路径指向常见的 Gradle 构建缓存，表明其在标准开发与部署流程中广泛存在。

此次披露延续了 Log4j 2 系列长期面临的安全审查压力。对于企业安全团队而言，关键行动点在于立即清查并识别所有使用了 `2.20.0` 版本 `log4j-slf4j2-impl` 或 `log4j-core` 的组件。在官方修复发布前，需评估漏洞在特定环境中的实际可触及性（Reachability），并考虑临时缓解或升级至其他已修复的版本。这起事件也再次凸显了在复杂软件供应链中，一个基础组件的漏洞会如何快速波及上游应用。