Az alkalmazások harmadát még érinti a Log4Shell
2023. december 9-én volt két éve, hogy a világ riadókészültségbe került a valaha volt egyik legkritikusabb zero-day sérülékenység, a Log4Shell miatt. A Log4Shell a lehető legmagasabb súlyossági besorolást (10,0) kapta. A sérülékenység a szinte mindenütt jelenlévő Java naplózási keretrendszert, az Apache Log4j-t érintő sérülékenység. A CVE-2021-44228 számú sérülékenység a Log4j 2.0-beta9 és 2.15.0 közötti Log4j2 verziókban (kivéve a 2.12.2, 2.12.3 és 2.3.1 biztonsági kiadásokat) található és kihasználása esetén a támadók távoli kódfuttatási (RCE) támadást hajthatnak végre, és kompromittálhatják az érintett szervert. A Log4Shell kétéves évfordulóján a Veracode megvizsgálta a Log4j sérülékenységének helyzetét. Ennek érdekében a Veracode elemezte a 2023. augusztus 15. és november 15. közötti 90 napon keresztül végzett szoftverellenőrzések adatait 38 278 egyedi alkalmazás esetében, amelyek a Log4j 1.1-3.0.0-alpha1 verzióit futtatták 3866 szervezeténél. A Veracode összességében azt találta, hogy az alkalmazások több mint harmada (38%) jelenleg a Log4j sérülékeny verzióit használja.