致各位亲爱的白帽子:
经过一轮内部的排查修复,讯飞SRC开启接收Apache Log4j2相关的RCE漏洞(CVE-2021-44228)。由于该漏洞目前为止影响依然非常广泛,故针对该漏洞的提交作以下测试要求与特殊声明:
1. 为方便漏洞快速审核与排查,漏洞证明时请提供漏洞入口的HTTP请求包、通过dnslog获得的主机名信息;
2. 简单的dns解析记录将被忽略,漏洞必须可稳定触发,且能证明是由log4j漏洞导致的;
3. 禁止写入文件、反弹shell、内网渗透等危险的入侵行为,漏洞证明存在后,禁止进一步利用;如需深度利用,请与运营协商备注IP经同意后进行,如无备注进行深度利用,视为违规,情节严重者将追究法律责任;
4. 漏洞评级:漏洞易于检测,按“中危”进行评级,按业务重要性(讯飞SRC评分奖励标准3.0)发放积分;
5. 沟通协作:测试过程中需要了解详细请及时与我们沟通。如:测试问题,其他重大业务问题发现等。
感谢各位的支持与理解,祝生活愉快!
联系方式:
微信号:XFSRC Shelly