Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack

O Apache Log4j2 versão 2.15.0 tem um reparo incompleto que permite que atacantes explorem dados do Contexto de Thread em configurações não-padrão para vazar informações ou executar código malicioso. Isso afeta sistemas que usam padrões de log específicos que não foram adequadamente protegidos no reparo inicial.

CVE-2021-45046 é uma continuação de CVE-2021-44228 afetando Log4j 2.15.0 quando Pattern Layouts não-padrão incluem Context Lookup ou padrões de Thread Context Map (por exemplo, ${ctx:*} ou %X). Atacantes com controle sobre dados de MDC podem injetar padrões de JNDI Lookup para alcançar execução remota de código (RCE) em certos ambientes ou execução local de código universalmente. A vulnerabilidade requer configuração de log com componentes de padrão específicos e é mitigada em Log4j 2.16.0+ e 2.12.2+ ao desabilitar JNDI por padrão e remover suporte a message lookup.