发布时间:2026/7/13 21:13:25
Apache Log4j再曝安全漏洞:CVE-2026-49844让JSON日志输出“翻车“,你的审计追踪还安全吗? 七月上旬Apache官方安全团队悄然放出一则补丁公告将编号CVE-2026-49844的漏洞正式纳入已知风险清单。这个藏在log4j-api组件里的小毛病表面看只是JSON序列化时的一个编码疏忽实则可能在关键时刻让你的日志管道彻底瘫痪甚至让安全团队的告警系统变成聋子。一个数字就能搞垮整条日志链事情的起因说起来并不复杂。Apache Log4j在处理MapMessage对象时如果其中包含了NaN、Infinity或者-Infinity这类非有限浮点数值JsonTemplateLayout或者其他调用MapMessage.asJson()方法的布局组件会直接把这些Java原生字符串原封不动地写进JSON输出。可问题在于RFC 8259标准压根就不允许JSON里出现这些裸token。下游的日志采集器、Elasticsearch、Splunk或者各类SIEM平台一旦碰到这种畸形数据大概率会直接把整条记录拒之门外。攻击者不需要什么高深技巧只要找到一个能向日志系统注入浮点数的入口塞一个精心构造的非有限值进去就能让后续的日志流出现断层。这种打法不像传统RCE那样能直接控制服务器但它对可用性和数据完整性的破坏往往更隐蔽、更难排查。为什么日志完整性比代码执行更值得关注很多人看到CVSS 4.0评分6.3归类为中等风险第一反应可能是问题不大。但这种判断在日志安全领域其实有点危险。日志是什么它是你事后溯源的黑匣子是合规审计的底稿也是SOC团队发现异常的生命线。如果攻击者能预测到你的日志解析行为并且知道往哪个字段里扔一个NaN就能让整条记录消失那这本质上就是一种针对可见性的攻击。想象一下某个深夜入侵者已经在你的系统里踩好了点正准备横向移动。正常情况下异常登录、权限提升、敏感文件访问这些行为都会留下痕迹触发告警。可如果关键时间窗口的日志因为格式错误被解析器丢弃你的安全运营中心可能根本收不到那条本该让你从床上弹起来的警报。这种静默丢失比一次性的服务崩溃可怕得多因为你甚至不知道自己错过了什么。漏洞触发的两个必要前提这个漏洞并非无条件触发它的利用路径有一定的门槛。应用必须同时满足两个条件一是使用了JsonTemplateLayout的message resolver或者其他任何依赖MapMessage.asJson()进行序列化的布局二是日志消息本身包含攻击者可控的浮点数值且最终以MapMessage的形式被记录。换句话说如果你的系统只是简单地用Log4j记字符串没有涉及结构化日志里的浮点字段那暂时可以松口气。但现代微服务架构里MapMessage被广泛用于记录结构化上下文——用户ID、请求耗时、坐标位置、传感器读数这些场景里浮点数太常见了。一旦某个API接口把用户输入的数值直接写进日志风险就敞开了。有意思的是这次修复其实还补上了前一轮补丁的漏网之鱼。今年四月披露的CVE-2026-34481已经处理过JsonTemplateLayout里的类似问题但当时的修复只覆盖了一部分代码路径。MapMessage.asJson()这个口子没堵上才有了现在的CVE-2026-49844。Apache官方也坦诚2.25.4版本的补丁并不彻底这才催生了2.25.5和2.26.1的后续更新。当前威胁态势尚未被大规模利用但别掉以轻心从公开情报来看CVE-2026-49844目前还没有现成的概念验证代码流出研究人员也未确认有真实攻击案例在野出现。EPSS评分低于1%CISA KEV列表里也没有它的名字。这些指标说明短期内被脚本小子批量利用的可能性不高。但安全评估不能只看当下。这个漏洞的利用条件并不苛刻攻击向量清晰而且防御方往往在日志解析层缺乏对单条记录格式异常的实时监控。很多企业的日志 pipeline 是fire and forget模式数据丢就丢了没人专门盯着解析失败率。这种盲区恰恰是攻击者喜欢的。受影响版本与修复路径这次漏洞的波及面不算小。log4j-api从2.13.1到2.25.4的全部版本都受影响2.26.0也未能幸免连3.0.0的早期预发布版本alpha1到beta2也在名单里。Apache给出的解药很直接升级到2.25.5或者2.26.1。这两个版本对非有限浮点值做了RFC 8259合规处理会把NaN和Infinity转换成合法的JSON表达从根本上消除解析失败的可能。如果升级暂时排不上期也有权宜之计。在浮点数值进入日志记录器之前先做一次有限性校验把非有限值拦截掉。具体做法可以是在业务代码里对准备记录的数字调用Double.isFinite()或者在日志配置层增加自定义的过滤器。当然这种缓解措施治标不治本毕竟日志入口可能分散在代码各处很难保证没有漏网之鱼。写在最后Apache Log4j自2021年的Log4Shell事件以来一直是安全社区的重点关注对象。CVE-2026-49844虽然没有当年那个漏洞那么惊心动魄但它揭示了一个常被忽视的安全维度日志不仅仅是记下来就行它的格式合规性、传输完整性、下游可解析性共同构成了审计追踪的可信基础。一旦这个链条上的某个环节被绕过安全团队就会陷入有数据却看不见的困境。对于运维和开发团队来说现在最务实的动作就是清点一下当前环境里的Log4j版本确认是否落在受影响区间。如果用了JsonTemplateLayout或者类似的JSON布局优先级应该再往上提一档。日志安全无小事别让一个非法的NaN成了你安全防线上的盲眼缺口。

相关新闻

2026/7/13 21:13:25

Can large audio language models understand child stuttering speech? speech summarization, and sou...

文章核心总结与创新点 一、主要内容 本文聚焦大型音频语言模型(LALMs)在口吃儿童语音处理中的表现,围绕两个核心任务展开研究:一是单通道源分离(从儿童-成人混合语音中分离儿童语音),二是儿童专属摘要生成(保留临床相关不流畅特征、避免成人语音泄露)。研究采用两种…

2026/7/13 21:13:25

转:战略是有计划的机会主义

个人理解: 有计划的机会主义 既有计划,又能抓住机会 聚焦在一系列重大选择问题上的持续战略之旅 在长期方向和短期战术动作间找到一个连接 宏观是我们必须接受的,微观才是我们能有所作为的地方 战略是有计划的机会主义 战略是有计划的机会主…

2026/7/13 22:08:44

Codex 提示词最佳实践

Codex 是面向软件开发的 AI 编程助手,可以帮助你理解项目、修改代码、修复 Bug、编写测试、生成文档和做代码审查。想让 Codex 更稳定地完成任务,关键不是写很长的提示词,而是把“目标、上下文、约束、输出和验证方式”说清楚。 提示词基本结…

2026/7/13 22:08:44

锂电池主动均衡系统设计与MP2672A应用解析

1. 项目背景与核心需求在便携式电子设备和储能系统中,多节锂电池串联应用越来越广泛。但电池个体差异会导致串联电池组出现电压不平衡问题,长期积累将严重影响电池寿命和系统安全性。传统被动均衡方案存在能量浪费严重、响应速度慢等缺点,而主…

2026/7/13 22:08:44

yuzu Switch模拟器:PC上畅玩任天堂游戏的终极指南

yuzu Switch模拟器:PC上畅玩任天堂游戏的终极指南 【免费下载链接】yuzu 任天堂 Switch 模拟器 项目地址: https://gitcode.com/GitHub_Trending/yu/yuzu 任天堂Switch作为近年来最受欢迎的游戏主机之一,拥有大量独占游戏资源。而yuzu作为目前最成…

2026/7/13 22:08:44

【C++】nullptr

目录一、NULL 的前世今生与问题根源二、nullptr 的诞生与类型体系三、使用场景与最佳实践1. 指针初始化与赋值2. 函数重载3. 模板编程中的空指针传递4. 条件判断四、nullptr 与其他空指针表示的对比五、面向未来的扩展一、NULL 的前世今生与问题根源 在 C 和早期 C 中&#xf…

2026/7/13 22:03:44

从零开始:使用MLX-OptiQ工具包量化大型语言模型的完整流程

从零开始:使用MLX-OptiQ工具包量化大型语言模型的完整流程 【免费下载链接】gemma-4-e2b-it-OptiQ-4bit 项目地址: https://ai.gitcode.com/hf_mirrors/mlx-community/gemma-4-e2b-it-OptiQ-4bit MLX-OptiQ工具包是一款专为Apple Silicon设计的高效大型语言…

2026/7/13 6:38:38

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南 【免费下载链接】ncmdumpGUI C#版本网易云音乐ncm文件格式转换,Windows图形界面版本 项目地址: https://gitcode.com/gh_mirrors/nc/ncmdumpGUI 你是否曾在网易云音乐下载了心爱的歌曲&#…

2026/7/13 14:26:14

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境随着新能源汽车行业的快速发展,充电通信协议的标准化和测试验证变得尤为重要。GB/T 27930-2023作为中国智能充电协议的最新版本,对充电机与电动汽车之间的通信提出了更严格…

2026/7/13 18:07:53

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡 【免费下载链接】rtl8852be Realtek Linux WLAN Driver for RTL8852BE 项目地址: https://gitcode.com/gh_mirrors/rt/rtl8852be 还在为Linux系统无法识别RTL8852BE Wi-Fi 6网卡而烦恼吗?&#x1f…

2026/7/13 0:00:24

广氟 PTFE 高速线缆膜 —— 高端线缆绝缘材料新选择

PTFE高速线缆膜的基本概念与特点 PTFE 高速线缆膜是以聚四氟乙烯树脂为原料,经膨化双向拉伸制成的多孔绝缘薄膜,作为高速高频通信线缆的核心介质材料,内部形成均匀连通的微孔结构,兼具极低介电常数与介电损耗,能有效降…

2026/7/13 11:33:05

3个高效策略:快速掌握Axure中文界面配置

3个高效策略:快速掌握Axure中文界面配置 【免费下载链接】axure-cn Chinese language file for Axure RP. Axure RP 简体中文语言包。支持 Axure 11、10、9。不定期更新。 项目地址: https://gitcode.com/gh_mirrors/ax/axure-cn 还在为Axure RP的英文界面感…