白帽师傅们好:
经过一轮紧张的排查修复,微博将重新有条件的接收apache log4j相关的RCE漏洞,RCE漏洞的确认标准为成功执行获取存在漏洞的主机的hostname。简单的dns解析传递记录仍将被忽略处理,漏洞报告中请附上详细的POC证明。单个有效漏洞的计算规则为接口及主机hostname的无重复性。
同时提醒广大白帽师傅:切勿进行反弹shell等威胁的入侵恶意行为,如有任何争议和疑问可随时联系微博安全团队。(注:此相关漏洞不参与严重漏洞额外奖励活动,具体评级根据影响情况而定。) 感谢支持与理解!