Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Проблема позволяет организовать удалённое выполнение кода, но помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации – атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия менять параметры конфигурации (log4j2.configurationFile) или вносить изменения в существующие файлы c настройками для ведения лога.
Атака сводится к определению на локальной системе конфигурации на базе JDBC Appender, ссылающейся на внешний JNDI URI, при запросе которого может быть возвращён Java-класс для исполнения. По умолчанию JDBC Appender не настроен для обработки протоколов, отличных от Java, т.е. без изменения конфигурации атака невозможна. Кроме того, проблема проявляется только в JAR-файле log4j-core и не затрагивает приложения, использующие только JAR-файл log4j-api без log4j-core.