[消息可靠性未知] Log4j 2.17 可能有新的 RCE?

已换 logback

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832 这个吧

不用看了，要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功，简直离了个大谱，我特喵都能修改文件了，我干点啥不好，还去修改这个配置文件然后触发这个漏洞？ checkmarx 不知道咋想的，这样的漏洞也往外发。。。。不是等着被人嘲笑么。。

@LinShiG0ng 刷 cve 啊。。。

@LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。

log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面，上面可以设置各种后台组件的参数么？那这种情况得有多极端，没有可行性的。