2022-01-10 Mon

Created: January 10, 2022 10:34 AM 1. CVE-2021-42392 Reference: https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/ 아파치 log4j(JNDI remote class loading)과 동일한 root cause를 가진 취약점이 H2 database console에서 발견되었다. H2는 java DBMS의 H2 Console를 사용하는 경우에 발생하는 취약점이다. Log4shell 취약점과 동일하게 jndi를 이용하여 코드를 실행시킬 수 있다. 기본적으로 H2 Console은 localhost 연결만 받아들이기 때문에 안전하지만, 원격 연결이 존재하는..