前期log4j2存在的远程代码执行漏洞（CVE-2021-44228）引起了轩然大波。昨天上网冲浪发现，checkmark研究员YANIV NIZRY公布了新版本log4j2 2.17.0中存在基于JDBCAPPENDER配置文件的任意命令执行。且该漏洞已经公布其CVE编号为CVE-2021-44832。

漏洞描述:

Apache Log4j2 是一款开源的 Java 日志记录工具，大量的业务框架都使用了该组件。如：Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。