В библиотеке журналирования Log4j, которая входит в состав популярных сетевых продуктов Apache, обнаружена уязвимость нулевого дня.
Уязвимость под названием Log4Shell (CVE-2021-44228) допускает удалённое выполнение произвольного кода. Как отмечают специалисты, для эксплуатации бага не требуются особые технические навыки, а код эксплойта уже ходит по сети. Поэтому «дыра» получила максимальные 10 баллов по шкале оценки уязвимостей CVSSv3.
Изначально уязвимость обнаружена на серверах Minecraft, но Log4j используются во многих Java-серверах. Потенциально подвержены атаке продукты Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD и других компаний.