早於 2.16.0 的 Apache Log4j 版本中存在一個遠端程式碼執行弱點，這是由於在處理使用者控制的輸入時，對訊息查閱替換的保護不足所致。未經驗證的遠端攻擊者可利用此弱點，透過 Web 要求以正在執行之 Java 進程的權限級別執行任意程式碼。

請注意，此繞過需要完成非預設組態。只有具有內容查閱 (例如，$${ctx: loginId}) 的模式配置易受此弱點影響。

此外掛程式要求掃描器和目標計算器皆可存取網際網路。

偵測

Apache Log4Shell CVE-2021-45046 繞過遠端程式碼執行

critical Nessus Plugin ID 156164

版本 1.44