Objavljena su ispravna izdanja biblioteke Log4j 2.17.1, 2.3.2-rc1 i 2.12.4-rc1 koja popravljaju još jednu ranjivost (CVE-2021-44832). Spominje se da problem dopušta daljinsko izvršavanje koda (RCE), ali je označen kao benigni (CVSS Score 6.6) i uglavnom je od teorijskog interesa, budući da zahtijeva specifične uvjete za iskorištavanje - napadač mora biti u mogućnosti napraviti promjene u datoteka postavki Log4j, tj. mora imati pristup napadnutom sustavu i ovlaštenje za promjenu vrijednosti konfiguracijskog parametra log4j2.configurationFile ili za izmjene postojećih datoteka s postavkama zapisivanja.
Napad se svodi na definiranje konfiguracije temeljene na JDBC Appenderu na lokalnom sustavu koja se odnosi na vanjski JNDI URI, na čiji zahtjev se Java klasa može vratiti na izvršenje. Prema zadanim postavkama, JDBC Appender nije konfiguriran za rukovanje ne-Java protokolima, tj. Bez promjene konfiguracije napad je nemoguć. Dodatno, problem utječe samo na log4j-core JAR i ne utječe na aplikacije koje koriste log4j-api JAR bez log4j-core. ...
Izvor: opennet.ru