Log4Shell un regalito de navidad 🎅🏼 jojojojo

De verdad que ha sido un grannn 🎁 de navidad para mucha gente, incluso creo que más para el desarrollador de la dependencia en si, ejje si, el que introdujo la vulnerabiliad sin darse cuenta, de ahí, que mucha gente se cuestione, de que a pesar de ser un proyecto open-source, no es igual a que lo auditen siempre.

La vulnerabiliad fue descubierta por un chino Chen Zhaojun del Alibaba Cloud Security Team.

Breve historia

2013

2016 Blackhat

Ya se habian enterado mucha gente de que el protocolo JDNI se podria explortar por aquí

2019

Expresion regular que andaba por ahi para mitigar entre comillas la issue, varios a nivel api-gateway he visto que han hecho cosas parecidas.

2021 el regalo 🎄🎁🎅

El día 10 el CVE-2021-44228

- TryHackMe soler

Vamos a probar esta maquina vulnerable de apache solar versión 8.11.0, un motor de busqueda basado en Java.


Continuará…​ hay mucha chamba ahora mísmo.