Se han publicado versiones correctivas de la biblioteca Log4j 2.17.1, 2.3.2-rc1 y 2.12.4-rc1, que corrigen otra vulnerabilidad (CVE-2021-44832). Se menciona que el problema permite la ejecución remota de código (RCE), pero está marcado como benigno (Puntuación CVSS 6.6) y tiene principalmente un interés teórico, ya que requiere condiciones específicas para su explotación: el atacante debe poder realizar cambios en el archivo de configuración Log4j, es decir debe tener acceso al sistema atacado y la autoridad para cambiar el valor del parámetro de configuración log4j2.configurationFile o realizar cambios en los archivos existentes con la configuración de registro.
El ataque se reduce a definir una configuración basada en JDBC Appender en el sistema local que hace referencia a un URI JNDI externo, previa solicitud del cual se puede devolver una clase Java para su ejecución. De forma predeterminada, JDBC Appender no está configurado para manejar protocolos que no sean Java, es decir. Sin cambiar la configuración, el ataque es imposible. Además, el problema solo afecta al JAR log4j-core y no afecta a las aplicaciones que usan el JAR log4j-api sin log4j-core. ...
Fuente: opennet.ru