# CVE-2021-44832 - Apache Log4j RCE via JDBC Appender > CVSS: 6.6 - Vendor: Apache - Patch: Sim (2.17.1) - CISA KEV: Não ## Resumo **CVE-2021-44832** é a quarta e última vulnerabilidade da família Log4Shell. Afeta Apache Log4j 2.0-beta7 a 2.17.0 e permite RCE quando um atacante com permissões para modificar o arquivo de configuração do logging utiliza um JDBC Appender com data source JNDI referênciando um URI LDAP malicioso. A barreira de entrada é mais alta que as CVEs anteriores da família (requer acesso à configuração), mas o impacto permanece crítico em ambientes onde configurações de logging são gerenciadas centralmente. **Pontuação de risco:** - CVSS v3.1: **6.6** (Médio) - Pré-requisito: acesso à configuração de logging - Fix definitivo: Log4j 2.17.1 ## Impacto Técnico - **RCE via JDBC Appender:** execução de código remoto via data source JNDI malicioso - **Requer configuração:** atacante precisa modificar o arquivo de configuração do Log4j - **Cadeia de ataque:** tipicamente combinada com outras vulnerabilidades para obter acesso à configuração ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Apache | Log4j | 2.0-beta7 a 2.17.0 | 2.17.1 | ## Patch e Mitigação **Patch oficial:** Log4j 2.17.1 - restringe JNDI data sources ao protocolo Java apenas. ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-44228|Log4Shell]] - [[cve-2021-45046|CVE-2021-45046]] - [[cve-2021-45105|CVE-2021-45105]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] - [[t1059-command-and-scripting-interpreter|T1059]] **Setores em risco:** [[financial|financeiro]] - [[technology|tecnologia]] ## Referências - [NVD - CVE-2021-44832](https://nvd.nist.gov/vuln/detail/CVE-2021-44832)