Pesquisadores de segurança cibernética alertaram que a vulnerabilidade CVE-2021-44832 na biblioteca Apache Log4j2 continua a ser um grande problema em vários setores e representa uma ameaça particular para o setor financeiro global. Catalogada como CVE-2021-44832, essa falha permite a execução remota de código (RCE) em sistemas comprometidos quando o invasor possui permissão para modificar o arquivo de configuração de logging.
A vulnerabilidade afeta todas as versões do Log4j2 desde a 2.0-beta7 até a 2.17.0, excluindo as versões 2.3.2 e 2.12.4 que contêm correções de segurança específicas. O problema surge da possibilidade de um invasor criar uma configuração maliciosa utilizando o JDBC Appender com uma fonte de dados que referencie um JNDI URI, resultando na execução de código remoto. A gravidade da CVE-2021-44832 foi classificada com um CVSS score de 6.6.
Para mitigar essa vulnerabilidade, é recomendável atualizar o Apache Log4j2 para as versões corrigidas mais recentes. Essas versões restringem os nomes de fonte de dados JNDI ao protocolo java, evitando a exploração da falha.
Esta é a quarta vulnerabilidade identificada no Apache Log4j2 em dezembro de 2021. Anteriormente, foram descobertas e mitigadas as CVE-2021-45105 (DoS), CVE-2021-45046 (RCE) e a crítica CVE-2021-44228, também conhecida como "Log4Shell", com um CVSS de 10.0, a qual permitia execução remota de código com impacto devastador em sistemas não corrigidos.