Publicáronse versións correctivas da biblioteca Log4j 2.17.1, 2.3.2-rc1 e 2.12.4-rc1, que corrixen outra vulnerabilidade (CVE-2021-44832). Menciónase que o problema permite a execución remota de código (RCE), pero está marcado como benigno (CVSS Score 6.6) e é principalmente de interese teórico, xa que require condicións específicas para a súa explotación: o atacante debe poder facer cambios no o ficheiro de configuración Log4j, é dicir. debe ter acceso ao sistema atacado e a autoridade para cambiar o valor do parámetro de configuración log4j2.configurationFile ou facer cambios nos ficheiros existentes coa configuración de rexistro.
O ataque redúcese a definir unha configuración baseada en JDBC Appender no sistema local que fai referencia a un URI JNDI externo, a petición do cal se pode devolver unha clase Java para a súa execución. Por defecto, JDBC Appender non está configurado para xestionar protocolos que non sexan Java, é dicir. Sen cambiar a configuración, o ataque é imposible. Ademais, o problema só afecta ao JAR log4j-core e non afecta ás aplicacións que usan o JAR log4j-api sen log4j-core. ...
Fonte: opennet.ru