cve-2021-45046 - RunkIntel

# CVE-2021-45046 - Apache Log4j Bypass do Fix Log4Shell > CVSS: 9.0 - Vendor: Apache - Patch: Sim (2.16.0) - CISA KEV: Sim ## Resumo **CVE-2021-45046** é um bypass da correção incompleta da [[cve-2021-44228|CVE-2021-44228 (Log4Shell)]]. A versão 2.15.0 do Apache Log4j, lançada para corrigir Log4Shell, ainda era vulnerável a RCE em configurações não-padrão que utilizam Pattern Layout com Context Lookup ou Thread Context Map. Inicialmente classificada como DoS (CVSS 3.7), foi reclassificada para RCE (CVSS 9.0) após demonstração de execução remota de código em ambientes reais. **Pontuação de risco:** - CVSS v3.1: **9.0** (Crítico - reclassificado de 3.7) - CISA KEV: adicionada - Variante da Log4Shell com bypass do fix inicial ## Impacto Técnico - **Bypass de correção:** a versão 2.15.0 não protegia completamente contra JNDI injection - **RCE:** execução remota de código em configurações não-padrão - **Exfiltração de dados:** lookup de variáveis de ambiente via DNS - **Amplamente explorada:** mesmos vetores que Log4Shell em ambientes "já corrigidos" ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Apache | Log4j | 2.0-beta9 a 2.15.0 | 2.16.0 | ## Patch e Mitigação **Patch oficial:** Log4j 2.16.0 (desabilita JNDI por padrão) **Mitigações:** - Atualizar para Log4j >= 2.17.1 - Remover classe JndiLookup do classpath - Configurar `log4j2.formatMsgNoLookups=true` ## Exploração Ativa **Status atual:** amplamente explorada em 2021-2022. Muitas organizações que aplicaram o "fix" 2.15.0 continuaram vulneráveis. ## CISA KEV Adicionada ao CISA KEV. Remediação urgente requerida. ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-44228|CVE-2021-44228 (Log4Shell)]] - [[cve-2021-45105|CVE-2021-45105]] - [[cve-2021-44832|CVE-2021-44832]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] - [[t1059-command-and-scripting-interpreter|T1059]] **Setores em risco:** [[financial|financeiro]] - [[government|governo]] - [[technology|tecnologia]]