Log4j 2.6.1 Jar 内嵌 3 个高危漏洞，最高 CVSS 10.0 分，修复方案已发布

一份来自 GitHub 依赖扫描的报告显示，一个仍在使用的旧版本 Apache Log4j 库（log4j-core-2.6.1.jar）内嵌了三个已知高危漏洞，其中 CVE-2021-44228 的 CVSS 评分高达 10.0 分，且漏洞利用成熟度被评估为“高”。该漏洞即臭名昭著的 Log4Shell，允许攻击者通过日志消息远程执行任意代码，曾引发全球性安全危机。报告同时指出，该库还包含 CVE-2017-5645（CVSS 9.8 分）等历史漏洞，表明相关项目或系统长期未进行安全更新。

该漏洞发现于一个示例项目的依赖文件路径中（/target/classes/META-INF/maven/org.whitesource/log4j-netty-sample/pom.xml），直接指向了 Apache Log4j 2.6.1 版本。尽管漏洞信息已公开多年，且修复版本（如 2.15.0 等）早已发布，但这份报告证实，仍有开发项目或遗留系统在使用这个极度危险的旧组件。EPSS（漏洞利用预测评分系统）对 CVE-2021-44228 的评分高达 94.4%，意味着该漏洞在野外被利用的可能性极高。

对于任何仍在使用 Log4j 2.6.1 或类似旧版本的组织而言，这是一个明确且紧迫的警报。报告显示，针对这些漏洞的修复方案是“可用”状态。这意味着技术债务已转化为明确的安全风险，相关开发团队和运维安全人员必须立即采取行动，将依赖升级至已修复的安全版本（如 log4j-core 2.15.0 或更高），并进行全面的资产清查，以防类似易受攻击的组件潜伏在更广泛的软件供应链中。