Прежде всего, давайте проясним, что это НЕ новая уязвимость Log4Shell или Spring4Shell.
Хотя это проблема удаленного выполнения кода, ее последствия не столь серьезны и не так легко эксплуатируются, как проблема в Log4j от декабря 2021 года.
Как и в случае с Log4j, суть проблемы заключается в том, что вы можете выполнить поиск, который затем может быть использован не по назначению.
Однако уязвимость Log4shell было очень легко использовать, что не обязательно произойдет в этот раз.
На самом деле эта проблема очень похожа на CVE-2022-33980, о которой мы писали в начале этого года.
Читать далее