こんにちは。かえると言います。 Twitterでは https://twitter.com/harukaeru_en で活動しています。日本人です。 日本語版: https://twitter.com/harukaeru1981 何番煎じかわかりませんが、log4j2の任意コード実行ができるようなので、実際に実行してみて、どれぐらい危険なのかをここに書くことにしました。 どういう脆弱性なのか?(TL;DR) 簡単にいうと、Webサイトやゲームサーバなどのテキストボックスで のように書くと、そこのサイトにあるJavaのclassファイルを、標的のサーバ内で実行することができます。(実際はこれとはちょっと書き方は違っていて、これは擬似コードなので動きません) 標的のサーバでは、そのclassファイルを使って自由にコマンドを呼び出せます。 ↓のように、こういったコマンドをjavaファイルの中に書