CVE-2021-45105 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Log4j2 自引用查找的**不受控递归**。 💥 **后果**：攻击者构造恶意字符串，触发无限递归，导致**拒绝服务 (DoS)**，服务瘫痪。

🔍 **CWE**：CWE-20 (Improper Input Validation)。 🐛 **缺陷点**：日志解析器在处理**自引用查找**（Self-referencing lookups）时，缺乏递归深度限制，导致栈溢出或资源耗尽。

📦 **组件**：Apache Log4j2。 📅 **版本**：**2.0-alpha1 到 2.16.0**（注意：2.12.3 版本除外，它是安全的）。

🛑 **能力**：仅限 **DoS (拒绝服务)**。 🚫 **限制**：根据数据，此漏洞主要导致服务不可用，**未提及**远程代码执行 (RCE) 或数据窃取权限。

📶 **门槛**：中等。 🔑 **条件**：需向应用发送包含特定恶意负载的请求（如 HTTP Header）。无需认证，只要应用记录该输入即可触发。

💻 **PoC**：有现成代码。 📝 **Payload**：`${${::-${::-$${::-$}}}}`。 🔗 **来源**：GitHub 上已有多个复现仓库（如 cckuailong, pravin-pp 等）。

🔎 **自查**：检查 Java 项目中 Log4j2 依赖版本。 📊 **特征**：若版本在 2.0-alpha1 至 2.16.0 之间（且非 2.12.3），即存在风险。

🛡️ **已修复**：是。 ✅ **安全版本**：升级至 **2.17.0** 或 **2.12.3** 即可修复此漏洞。

⚠️ **临时规避**：数据未提供具体临时缓解措施。 💡 **建议**：若无补丁，需通过 WAF 拦截包含 `${` 等特殊字符的日志输入，或限制日志记录敏感字段。

🔥 **优先级**：高。 📢 **理由**：Log4j 生态广泛，且 PoC 公开简单。虽为 DoS，但可导致业务中断，需尽快升级版本。