一键式重置密码插件漏洞说明
更新时间 2025-11-11 14:52:59
最近更新时间: 2025-11-11 14:52:59
本节介绍了一键式重置密码插件漏洞说明
漏洞说明
弹性云主机提供了重置密码功能,当弹性云主机的密码丢失或过期时,可使用该功能进行一键式重置密码。
2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件,会被安全工具扫描出漏洞。
表 漏洞信息
漏洞类型 | CVE-ID | 漏洞级别 | 披露/发现时间 | 修复时间 |
|---|---|---|---|---|
Apache Log4j2 远程代码执行 | 严重 | 2021-12-09 | 2022-1-14 | |
Apache Log4j2 远程代码执行 | CVE-2021-45046 | 严重 | 2021-12-15 | 2022-1-14 |
Apache Log4j2 拒绝服务 | CVE-2021-45105 | 中 | 2021-12-18 | 2022-1-14 |
Apache Log4j2 远程代码执行 | CVE-2021-44832 | 中 | 2021-12-29 | 2022-1-14 |
Apache Log4j2 信息泄露 | CVE-2020-9488 | 低 | 2020-04-27 | 2022-1-14 |
漏洞影响
一键式重置密码插件是弹性云主机内部运行的客户端进程,不对外提供任何网络服务。经分析验证,一键式重置密码插件无可利用条件,无安全风险。
判断方法
老版本一键式重置密码插件的部署路径为:
/CloudResetPwdUpdateAgent/lib/log4j-api-2.8.2.jar
/CloudResetPwdUpdateAgent/lib/log4j-core-2.8.2.jar
如存在以上文件,则说明使用的是老版本一键式重置密码插件。
漏洞修复方案
弹性云主机最新版本的插件已移除对Apache Log4j2组件的依赖,建议您升级弹性云主机的插件版本,具体操作请参考《弹性云主机用户指南》的“更新一键式重置密码插件(单台操作)”章节。
