Apache Log4j2是一款开源日志框架，近期互联网上公开了Log4j2一个远程命令执行漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，之后可以在目标服务器上执行任意代码。该漏洞影响范围较大，利用难度低，已经发现互联网上有大规模在野利用。

已知受影响的组件包括spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid等，业务系统中如果涉及Java应用，请检测是否引入log4j-api , log4j-core 两个jar包，若存在应用使用，很可能也会受此漏洞影响。建议尽快自行检查修复。

漏洞等级：高危

受影响的版本：Apache log4j2 2.x < 2.15.0-rc2

安全版本：log4j-2.15.0-rc2

漏洞修复方案：

Apache官方已发布补丁，补丁下载地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

参考链接：

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2