Log4Shell (CVE-2021-44228) war eine kritische Schwachstelle in der weit verbreiteten Java-Logging-Bibliothek Apache Log4j, die Ende 2021 bekannt wurde. Durch manipulierte Zeichenketten in Log-Nachrichten konnte ein Angreifer beliebigen Code auf dem Server ausführen (Remote Code Execution). Die Schwachstelle erhielt den höchsten CVSS-Wert von 10.0, weil sie trivial auszunutzen war und Log4j in unzähligen Anwendungen eingebettet ist. Log4Shell verdeutlicht, warum ein aktuelles Software-Inventar (SBOM) und ein funktionierender Schwachstellenmanagement-Prozess in deinem ISMS unverzichtbar sind. Ohne Inventar weißt du nicht, welche Systeme eine betroffene Bibliothek verwenden.