Я всегда рассматривал конфигурации программы как часть исходного кода программы. Пусть и написанную на специфическом декларативном языке. Код конфигурации пишет программист. Конфигурация структурирована специальным образом. Она меняет поведение программы, или даже добавляет новые фичи которых раньше небыло.

Описание уязвимости в Log4j:

Apache Log4j2 are vulnerable to a remote code execution attack where an attacker with permission to modify the logging configuration file

Я читаю как: если атакующий может модифицировать исходный код вашего проекта, то он может добавить в исходных код вашего проекта свой код. Логично! Это свойство исходного кода. Если вы его можете править, то вы можете добавить в исходный код, любой код. В математике эта гениальная фраза записывается как 0 = 0. Лили 1 = 1 и т.п.

Что это. Программисты настолько деградировали, что не понимают что список языков программирования не ограничивается Java, JavaScript и Python, и все что способно менять поведение компьютера является языком программирования. И следует ожидать уязвимостей вида: в Bash скриптах обнаружен уязвимость. Если хакер может вносить произвольные правки в Bash скрипты на вашем компютере, то это ведет с потенциальному RCE. Надо срочно обновить Bash чтобы запретить bash-скриптам выполнять какие-либо действия.

Или я настолько деградировал на текущей работе — что не понимаю чего-то важного?