Foram publicadas versões corretivas da biblioteca Log4j 2.17.1, 2.3.2-rc1 e 2.12.4-rc1, que corrigem outra vulnerabilidade (CVE-2021-44832). Menciona-se que o problema permite a execução remota de código (RCE), mas é marcado como benigno (pontuação CVSS 6.6) e tem principalmente interesse apenas teórico, pois requer condições específicas de exploração - o invasor deve ser capaz de fazer alterações em o arquivo de configurações Log4j, ou seja, deve ter acesso ao sistema atacado e autoridade para alterar o valor do parâmetro de configuração log4j2.configurationFile ou fazer alterações em arquivos existentes com configurações de log.
O ataque se resume a definir uma configuração baseada em JDBC Appender no sistema local que se refere a um URI JNDI externo, mediante solicitação do qual uma classe Java pode ser retornada para execução. Por padrão, o JDBC Appender não está configurado para lidar com protocolos não Java, ou seja, Sem alterar a configuração, o ataque é impossível. Além disso, o problema afeta apenas o JAR log4j-core e não afeta aplicativos que usam o JAR log4j-api sem log4j-core. ...
Fonte: opennet.ru