CVE-2021-44228

Recomendación 🔴 Parchar de inmediato Explotación activa confirmada — está en el catálogo CISA KEV.
Severidad Crítica
CVSS 10.0 (versión 3.1)
Probabilidad de explotación (30 días) 100.00%
¿Explotación activa confirmada? Sí — catálogo KEV de CISA

Descripción de la vulnerabilidad

Apache Log4j2 2.0-beta9 hasta la versión 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) Las características JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI. Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada. Desde log4j 2.15.0, este comportamiento ha sido desactivado de forma predeterminada. Desde la versión 2.16.0 (junto con 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services.

Traducción automática desde inglés (fuente: NVD)

Detalles técnicos

Fecha de publicación 10/12/2021
Última actualización 17/06/2026
Vector CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Clasificación CWE CWE-20, CWE-400, CWE-502, CWE-917

Información de parchado

Nombre de la vulnerabilidad Apache Log4j2 Remote Code Execution Vulnerability
Proveedor / Producto Apache — Log4j2
Agregado al catálogo KEV 2021-12-10
Acción requerida por CISA For all affected software assets for which updates exist, the only acceptable remediation actions are: 1) Apply updates; OR 2) remove affected assets from agency networks. Temporary mitigations using one of the measures provided at https://www.cisa.gov/uscert/ed-22-02-apache-log4j-recommended-mitigation-measures are only acceptable until updates are available.
Fecha límite original 2021-12-24

Referencias técnicas