Tak už se něco podobného objevilo i v Logbacku: https://jira.qos.ch/browse/LOGBACK-1591 Byla vydána verze 1.2.8, která zakazuje veškeré JNDI vyhledávání v Logbacku, dokud nebude možná zranitelnost lépe prozkoumána. Podmínkou zneužití je možnost zápisu do konfiguračního souboru Logbacku aplikací, je tedy doporučeno konfigurační soubory pro logování mít pro aplikaci pouze pro čtení.
Z PoC už je jasnější, že Logback samotný neumožňuje přepsat ten konfigurační soubor. Problém je tedy v tom, že pokud útočníkovi umožníte (nějakou jinou chybou) přepsat konfigurační soubor Logbacku, může Logback překonfigurovat tak, aby bylo možné zneužít nějakou chybu při vyhledávání JNDI. Pak si ale dovedu představit lepší způsoby zneužití – třeba přepnutí úrovně logování na DEBUG a nastavení nějakého loggeru, který odesílá data po síti – třeba e-mailem nebo přes TCP/IP.
Better safe than sorry.