Apache Log4j 2.15.0 修复不完整，CVE-2021-45046 漏洞仍可导致信息泄露与远程代码执行

Apache Log4j 2.15.0 版本针对 CVE-2021-44228（Log4Shell）的修复被发现存在缺陷，未能完全阻断攻击路径。在特定的非默认配置下，攻击者仍可利用 JNDI 查找模式构造恶意输入数据，从而可能导致信息泄露，并在某些环境中实现远程代码执行。这一后续漏洞被追踪为 CVE-2021-45046，其严重性等级同样被评定为“严重”。

受影响的软件包为 `org.apache.logging.log4j:log4j-core`，版本 2.15.0 及更早版本均存在风险。Apache 基金会已发布补丁版本 2.16.0（对于 Java 8 及更高版本）和 2.12.2（对于 Java 7），以彻底解决此问题。该漏洞凸显了在应对复杂供应链攻击时，修补程序本身也可能引入新的攻击面或遗留未覆盖的配置场景。

对于全球依赖 Log4j 进行日志记录的 Java 应用程序生态系统而言，这意味着修补工作远未结束。企业及开发者必须立即将受影响的 Log4j 组件升级至官方提供的安全版本（2.16.0 或 2.12.2），并审查其应用程序的配置，确保所有潜在的攻击向量均被消除。持续存在的漏洞风险对关键基础设施、云服务和无数企业软件构成了持续的安全压力。