由于Log4j 1.2.x中的JDBCAppender接受SQL语句作为配置参数,PatternLayout的消息转换器未对其中输入的值进行过滤。攻击者可通过构造特殊的字符串到记录应用程序输入的内容中来操纵SQL,从而实现非法的SQL查询。Log4j默认配置时不受此漏洞影响
PLAT_2.0及U-Center2.0系列产品未开启JDBCAppender,所以不涉及该漏洞
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作