所以写java的被一些人鄙视,远程加载byte code开了多大的口子,有些默认还打开这个特性。
这个format还是递归处理的,给log的调用者想得太周到了
官方的这个漏洞补丁还可以绕过去
https://lorexxar.cn/2021/12/10/log4j2-jndi/
【 在 xiaoju 的大作中提到: 】
: 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
:
--
修改:z16166 FROM 114.245.195.*
FROM 114.245.195.*