Log4Shell: kwetsbaarheid in Apache Log4j
CVSS is niet hetzelfde als prioriteit. CVSS drukt alleen de technische ernst uit. De priority score weegt daarnaast actief misbruik (CISA KEV), de beschikbaarheid van een exploit en de gemeentelijke relevantie mee — en bepaalt zo wat éérst moet.
Hoewel niet nieuw, komt Log4j nog steeds voor in applicaties en appliances.
Inventariseer waar Log4j wordt gebruikt, ook in software van leveranciers, en werk dit bij naar een veilige versie.
Deze dreiging scoort 100/100 voor de gemeentelijke relevantie. Meegewogen: bevestiging door een officiële bron, actief misbruik (de kwetsbaarheid staat op de CISA KEV-lijst), een hoge ernstinschaling, een beschikbare exploit, een leveranciers- of ketenrisico en een ransomwarerisico. Geraakte processen: Leveranciersketen.
Deze dreiging vraagt om bestuurlijke aandacht. Een onverholpen kwetsbaarheid in gemeentelijke systemen vergroot de kans op misbruik. Een succesvolle aanval kan de gemeentelijke dienstverlening direct raken en leiden tot uitval, imagoschade of een datalek met meldplicht. Borg dat de portefeuillehouder en de directie geïnformeerd zijn en dat de opvolging belegd en bewaakt wordt.
Geraakte processen
Operationele acties
Meegewogen factoren
De volledige prioriteitsonderbouwing van de dreiging ("Vandaag beoordelen") staat op de dreigingspagina.