Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack

Apache Log4j2 versión 2.15.0 tiene un parche incompleto que permite a atacantes explotar datos del Contexto de Thread en configuraciones no predeterminadas para filtrar información o ejecutar código malicioso. Esto afecta sistemas que utilizan patrones de registro específicos que no fueron adecuadamente asegurados en el parche inicial.

CVE-2021-45046 es una continuación de CVE-2021-44228 afectando Log4j 2.15.0 cuando Pattern Layouts no predeterminados incluyen Context Lookup o patrones de Thread Context Map (por ejemplo, ${ctx:*} o %X). Atacantes con control sobre datos de MDC pueden inyectar patrones JNDI Lookup para lograr ejecución remota de código (RCE) en ciertos entornos o ejecución local de código universalmente. La vulnerabilidad requiere configuración de registro con componentes de patrón específicos y se mitiga en Log4j 2.16.0+ y 2.12.2+ al deshabilitar JNDI por defecto y eliminar soporte para message lookup.