Верацоде је објавио резултате студије о важности критичних рањивости у Лог4ј Јава библиотеци, идентификоване прошле и претходне године. Након проучавања 38278 апликација које користи 3866 организација, истраживачи Верацоде-а су открили да 38% њих користи рањиве верзије Лог4ј-а. Главни разлог за наставак коришћења застарелог кода је интеграција старих библиотека у пројекте или мукотрпан прелазак са неподржаних грана на нове гране које су компатибилне уназад (судећи према претходном Верацоде извештају, 79% библиотека трећих страна мигрирало је у пројекат код се никада накнадно не ажурира).
Постоје три главне категорије апликација које користе рањиве верзије Лог4ј-а:
- 2.8% апликација наставља да користи Лог4ј верзије од 2.0-бета9 до 2.15.0, које садрже рањивост Лог4Схелл (ЦВЕ-2021-44228).
- 3.8% апликација користи издање Лог4ј2 2.17.0, које поправља рањивост Лог4Схелл, али оставља неисправљену рањивост ЦВЕ-2021-44832 даљинског извршавања кода (РЦЕ).
- 32% апликација користи грану Лог4ј2 1.2.к, чија је подршка престала још 2015. године. На ову грану утичу критичне рањивости ЦВЕ-2022-23307, ЦВЕ-2022-23305 и ЦВЕ-2022-23302, идентификоване 2022. 7 година након завршетка одржавања.
Извор: опеннет.ру