2021 年 12 月 9 日，Apache Log4j2 被曝存在远程代码执行漏洞，黑客利用该漏洞可直接获取系统服务器权限，该漏洞细节已被公开，互联网已有漏洞利用工具，漏洞利用复杂度低，漏洞危害大。请各地各部门立即针对此漏洞进行排查，及时升级为安全版本，避免发生网络安全事件。

一、受漏洞影响版本

Apache Log4j2 是一个基于 Java 的日志记录工具，被大量用于业务系统开发，该组件使用广泛，Apache Log4j2 的2.0-2.14.1 版本均受影响。

二、安全版本

Apache Log4j-2.15.0-rc2(2.15.0-rc1 版，已验证可被绕过，需升级到 rc2 版)。

三、安全建议

排查应用是否引入了 Apache Log4j2 Jar 包，如果存在引入，则受漏洞影响。请尽快升级 Apache Log4j2 到最新的log4j-2.15.0-rc2 版本，补丁下载地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。