Última atualização em 18 de dezembro de 2021
Como funciona a vulnerabilidade #Log4J? Qual a sua gravidade? Na última sexta-feira, 10 de dezembro de 2021, uma vulnerabilidade na biblioteca de registro Java Log2021J foi divulgada como CVE-44228-4. O Log4J é extremamente difundido no ambiente Java. A vulnerabilidade tem uma pontuação #CVSS "perfeita" de 10.0. Em termos coloquiais: é catastroficamente ruim. Explicamos sua funcionalidade básica e demonstramos uma aplicação de demonstração vulnerável baseada no Spring Boot 2.6.1. Por fim, discutimos duas possíveis estratégias de mitigação (aplicação de patch para a versão 2.15.0 ou superior, proibindo caracteres especiais na entrada do usuário).