CVE-2021-4104 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Log4j 1.x 存在代码缺陷，攻击者可通过 **JMSAppender** 触发反序列化执行代码。 💥 **后果**：直接导致 **远程代码执行 (RCE)**，服务器沦陷。

🔍 **CWE**：CWE-502 (反序列化不可信数据)。 📍 **缺陷点**：JMSAppender 在处理消息时未对反序列化对象进行安全校验，导致恶意载荷被执行。

📦 **厂商**：Apache Software Foundation。 🏷️ **产品**：Apache Log4j **1.x** 版本（特别是 1.2 系列）。 ⚠️ **注意**：这是 Log4j 1.x 的漏洞，非著名的 Log4Shell (2.x)。

👑 **权限**：攻击者可获得与 Log4j 进程相同的 **系统权限**。 📂 **数据**：可读取/篡改服务器所有数据，甚至控制整个主机。

🚧 **门槛较高**。 🔑 **前置条件1**：目标环境必须配置了 **JMS 环境**。 🔑 **前置条件2**：攻击者需拥有修改 **log4j.properties** 文件的权限（通常需已入侵或配置错误）。

💻 **有 PoC**：GitHub 上有名为 `log4shell_1.x` 的 PoC 代码。 🌍 **在野利用**：数据未明确提及大规模在野利用，但 PoC 已公开，风险存在。

🔎 **自查特征**：检查项目中是否依赖 **Log4j 1.x** 且配置了 **JMSAppender**。 🛠️ **扫描工具**：可使用 Nuclei 模板（如 `flexnet-log4j-rce.yaml`）进行探测。

🛡️ **官方修复**：Apache 官方已发布修复版本。 📦 **替代方案**：社区提供了移除危险类的 Log4j 1.2.17-aims 版本作为直接替换。

⚠️ **临时规避**： 1. **移除** JMSAppender 配置。 2. **升级** 到修复后的 Log4j 版本。 3. **限制** 对 log4j.properties 文件的写入权限。

🔥 **优先级：中高**。 📉 **对比**：相比 Log4Shell (2.x)，此漏洞利用条件苛刻（需 JMS 环境+文件修改权限），实用性较低，但仍需尽快修复以防被针对性利用。