Markus Magnuson

**Name of the Vulnerable Software and Affected Versions** Apache Log4j Core versões 2.12.0 até 2.25.3 **Description** Existe uma falha onde a verificação de nome de host é ignorada quando configurada através do atributo `verifyHostName` do elemento '<Ssl>'. Isso ocorre mesmo que o atributo seja explicitamente definido, deixando as conexões TLS suscetíveis a interceptação. Um invasor baseado em rede pode realizar um ataque de man-in-the-middle se um appender SMTP, Socket ou Syslog for utilizado, o TLS estiver configurado via um elemento '<Ssl>' aninhado e o invasor possuir um certificado emitido por uma CA confiável pelo trust store configurado ou pelo trust store padrão do Java. **Recommendations** Atualizar para o Apache Log4j Core 2.25.4.