Las organizaciones todavía están expuestas a vulnerabilidades críticas en Log4j, dos años después de que se encontrara un error de máxima gravedad en la popular utilidad, según Veracode.

El proveedor de seguridad de aplicaciones analizó datos de escaneos de software durante 90 días entre el 15 de agosto y el 15 de noviembre de 2023. Estos cubrieron 38,278 aplicaciones únicas que ejecutaban Log4j versiones 1.1 a 3.0.0-alpha1 en 3866 organizaciones.El proveedor descubrió que el 38% todavía usa versiones vulnerables de Log4j. La mayoría (32%) de ellos ejecuta Log4j2 1.2.x, que contiene tres fallas críticas: CVE-2022-23307, CVE-2022-23305 y CVE-2022-23302.