CVE-2026-34477

Name of the Vulnerable Software and Affected Versions Apache Log4j Core versões 2.12.0 até 2.25.3

Description Existe uma falha onde a verificação de nome de host é ignorada quando configurada através do atributo verifyHostName do elemento ''. Isso ocorre mesmo que o atributo seja explicitamente definido, deixando as conexões TLS suscetíveis a interceptação. Um invasor baseado em rede pode realizar um ataque de man-in-the-middle se um appender SMTP, Socket ou Syslog for utilizado, o TLS estiver configurado via um elemento '' aninhado e o invasor possuir um certificado emitido por uma CA confiável pelo trust store configurado ou pelo trust store padrão do Java.

Recommendations Atualizar para o Apache Log4j Core 2.25.4.