【2026年】安全提醒：Apache Log4j2曝出CVE-2021-45105高危DoS攻击漏洞

一、前言：老旧漏洞仍成2026年安全重灾区

2021年底震动全球的Apache Log4j2漏洞系列余波未平，其中CVE-2021-45105高危拒绝服务（DoS）漏洞在2026年依然是政企、企业存量系统的高频风险点。大量老旧业务平台、中间件、外包项目因长期未升级组件，持续暴露在该漏洞攻击威胁下，极易被自动化工具批量扫描利用，引发业务瘫痪事故 。二、漏洞核心信息：高危DoS，利用门槛极低

- 漏洞编号：CVE-2021-45105

- 危害等级：高危（CVSS 7.5）

- 漏洞类型：远程拒绝服务（DoS）

- 影响范围：Apache Log4j2 2.0-alpha1 至 2.16.0 全版本 

- 安全版本：2.17.0（Java 8+）、2.12.3（Java 7）、2.3.1（Java 6） 

- 核心特点：无需认证、远程可触发、利用代码公开，攻击者无需复杂权限，构造恶意请求即可致服务宕机 。

三、漏洞原理：无限递归触发栈溢出

Log4j2 作为Java生态主流日志框架，支持上下文查找（Context Lookup）语法（如 ${ctx:loginId} ）。CVE-2021-45105的核心成因是：组件未对递归嵌套深度做限制 。

攻击者通过控制线程上下文映射（MDC）数据，构造嵌套式递归Lookup语句（如 ${ctx:${ctx:xxx}} ），Log4j2解析时会陷入无限递归调用，最终触发StackOverflowError栈溢出错误，直接导致进程崩溃、服务终止，实现拒绝服务攻击 。

四、2026年现状：存量系统风险突出

尽管该漏洞2021年12月已公开并发布修复版本，但2026年安全监测显示：

1. 老旧系统遗留多：大量政企OA、政务平台、传统企业业务系统仍使用2.16.0及以下版本，未完成组件升级。

2. 中间件依赖风险：Spring Boot、Dubbo、Elasticsearch、Kafka等常用中间件，若嵌套依赖漏洞版本Log4j2，会间接引入风险。

3. 攻击成本极低：利用代码已公开，黑客可通过批量扫描工具，对全网暴露的Java系统发起自动化攻击，短时间内造成大规模业务中断 。

五、应急处置与防护建议

1. 优先升级（根治方案）

- 检查项目依赖中 log4j-core 版本，立即升级至对应安全版本：- Java 8及以上：升级至 2.17.0+

- Java 7：升级至 2.12.3+

- Java 6：升级至 2.3.1+ 

- 同步确保 log4j-api 与 log4j-core 版本一致，避免兼容性问题 。

2. 临时应急（无法立即升级时）

- 禁用Lookup语法：修改日志配置，关闭上下文查找功能，删除PatternLayout中的 ${ctx:...} 等递归表达式 。

- 过滤特殊字符：对用户可控输入（如请求参数、日志内容），过滤 $ 、 {} 、 ctx: 等关键字符，阻断恶意递归语句传入 。

3. 全网资产排查

- 梳理所有Java业务系统、服务器、中间件，扫描 log4j-core 版本，建立风险资产清单。

- 重点排查外包项目、长期未维护系统、开源组件依赖较多的平台，限期完成整改 。

4. 常态化安全监测

- 实时监控服务器CPU、内存、进程状态，重点告警堆栈溢出报错、服务异常重启、日志递归解析失败等特征行为 。

- 部署WAF/IDS规则，拦截包含嵌套Lookup语句的恶意请求，阻断攻击链 。

六、结语：警惕“旧漏洞新攻击”，筑牢安全防线

CVE-2021-45105虽为早年披露的漏洞，但2026年存量系统的“修复滞后”，使其依然成为高频攻击目标。安全无小事，尤其是老旧组件的遗留风险，需各单位高度重视，立即开展自查整改，落实升级加固措施，避免因小失大，保障业务系统持续稳定运行。