致各位亲爱的白帽子:
完美世界安全中心(简称PWSRC),经过一段时间的内部排查与整改,PWSRC 决定自2022年4月7日起重新开放接收 Log4j2 远程代码执行漏洞。
由于该漏洞影响范围较大、调用链较复杂,针对该类漏洞做出以下说明:
1. 为方便审核人员定位与排查,漏洞证明时请提供通过dnslog获得的主机名信息;
2. 证明存在漏洞即可,禁止进一步利用,如读写文件、反弹shell、内网渗透等;
3. 由于漏洞调用链可能存在多条,多处不同入口的漏洞利用最终影响同一个主机/应用/集群,识别为相同漏洞源(即业务修复一次可满足),一般只给第一个提交者奖励;
4. 漏洞评分请参考《漏洞反馈处理流程与奖励说明 V2.4》。
感谢大家的支持与理解,祝生活愉快!