Daniel Martin

**Nome do software vulnerável e versões afetadas** Versões 1.2.x do Log4j **Descrição** O problema está relacionado ao JDBCAppender no Log4j, que aceita uma instrução SQL como parâmetro de configuração. Isso permite que invasores manipulem o código SQL inserindo strings maliciosas em campos de entrada ou cabeçalhos de uma aplicação que são registrados, possibilitando a execução de consultas SQL indesejadas. O problema afeta apenas o Log4j 1.x quando configurado especificamente para usar o JDBCAppender. O Apache Log4j 1.2 chegou ao fim de vida útil em agosto de 2015. **Recomendações** Para as versões 1.2.x do Log4j, atualize para o Log4j 2, pois ele corrige inúmeros outros problemas das versões anteriores, incluindo suporte adequado para consultas SQL parametrizadas e maior personalização das colunas gravadas nos logs. Como solução temporária, considere desativar o JDBCAppender até que um patch esteja disponível ou a atualização para o Log4j 2 seja concluída.