Smartbear ha publicado una nueva actualización del programa SoapUI que permite pasar de la versión 5.6.0 a la 5.6.1. Dicha actualización es importante porque corrige la archiconocida vulnerabilidad CVE-2021-44228 registrada el pasado 26 de noviembre que afecta a Apache Log4j.
Un atacante puede explotar esta vulnerabilidad si posee control sobre los mensajes de log o de sus parámetros. Esto le permitiría ejecutar código de forma malintencionada cargándolo a través de un servidor LDAP si la sustitución de búsqueda de mensajes (message lookup substitution) se encuentra activada.
Desde la versión de Log4j 2.15.0 esta configuración está deshabilitada por defecto y, a partir de la versión 2.16.0, esta funcionalidad ha sido eliminada. Justamente esta última versión (2.16.0) ha sido la adoptada por el equipo de SoapUI para aplicar el parche. Recordemos que la vulnerabilidad sólo afecta al núcleo de la librería (log4j-core) y que no afecta a otros proyectos relacionados como Log4net o Log4cxx. Desafortunadamente, este parche no solventa el bug existente de la molesta ventana SoapUI Start Page sin contenido que no se puede cerrar
