## Apache Log4j 2.6.1 Jar 内嵌四大高危漏洞，Log4Shell 赫然在列
一份来自开源依赖扫描的报告显示，一个广泛使用的旧版 Apache Log4j 库——log4j-core-2.6.1.jar——内部嵌有四个已知高危漏洞，其中就包括臭名昭著的 Log4Shell（CVE-2021-44228）。该漏洞的 CVSS 评分高达满分 10.0，且漏洞利用成熟度被评估为“高”，意味着攻击者拥有现成的、可靠的利用方法。报告明确指出，该漏洞是项目的直接依赖项，其 EPSS（漏洞利用预测评分系统）得分高达 94.4%，表明其在未来 30 天内被利用的可能性极高。

这份扫描结果揭示了软件供应链中一个典型的“定时炸弹”：一个看似普通的日志记录组件，因其过时的版本而成为严重的安全隐患。除了 Log4Shell，该 jar 包还包含另一个 CVSS 9.8 分的严重漏洞 CVE-2017-5645。这些漏洞均已被公开披露多年，且官方早已发布修复版本。然而，由于项目依赖管理不善或升级滞后，这个易受攻击的旧版本依然存在于生产环境的依赖链中。

对于任何仍在使用该版本 Log4j 的组织而言，这是一个明确且紧迫的修复信号。报告显示，针对所有列出的漏洞，都存在可用的修复方案（标记为“✅”），升级路径清晰。未及时修补将面临远程代码执行、数据泄露和系统被完全接管的风险。这一发现再次凸显了持续进行软件成分分析（SCA）和主动依赖项管理的重要性，尤其是在处理像 Apache Log4j 这样无处不在的基础组件时。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Log4Shell, CVE-2021-44228, 软件供应链安全, 开源漏洞, 远程代码执行
- **Credibility**: unverified
- **Published**: 2026-04-21 11:22:54
- **ID**: 74162
- **URL**: https://whisperx.ai/en/intel/74162