Apache Log4j Core 再爆安全漏洞 CVE-2025-68161：Socket Appender 缺失 TLS 主机名验证

Apache Log4j 2 核心组件再次曝出高危安全漏洞。新发现的 CVE-2025-68161 影响范围广泛，涉及 Apache Log4j Core 从 2.0-beta9 到 2.25.2 的所有版本。漏洞核心在于其 Socket Appender 组件未能对通信对端的 TLS 证书执行主机名验证。这意味着，在特定配置下，使用该组件的应用程序可能面临中间人攻击风险，攻击者可能拦截或篡改日志数据流。这一缺陷直接削弱了 TLS 连接的核心安全保障，为潜在的数据泄露或日志注入攻击打开了后门。

此次漏洞由 GitHub 的依赖更新机器人 Renovate 在自动提交的修复拉取请求中披露。请求旨在将项目依赖的 `org.apache.logging.log4j:log4j-core` 从存在漏洞的 2.20.0 版本升级至已修复的 2.25.4 版本。更新记录明确标注了此次变更为安全更新，并链接至美国国家标准与技术研究院的漏洞详情页面。Log4j 作为 Java 生态系统中使用最广泛的日志记录框架之一，其核心组件的任何安全漏洞都可能对数以百万计的应用程序和服务产生连锁影响。

这是自 2021 年底 Log4Shell 漏洞风暴以来，Log4j 2 组件曝出的又一重要安全缺陷。虽然其严重性和利用复杂度可能不及 Log4Shell，但它再次凸显了维护关键基础设施组件安全性的持续挑战。开发团队和安全运维人员正面临压力，需紧急审查其应用程序中 Log4j 的版本和配置，特别是那些使用了 Socket Appender 进行网络日志传输的场景。此次事件也提醒业界，即使是对成熟且经过严格审查的开源项目，持续的安全监控和依赖管理也至关重要。