Von der seit Donnerstag bekannten und vom BSI mit Alarmstufe ROT eingeschätzten schweren Sicherheitslücke in der Log4J-Bibiothek [1] ist QGIS NICHT betroffen! Einzelheiten dazu im QGIS-Blog [2].
[1] … https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/ DE/2021/2021-549032-10F2.html
[2] … https://blog.qgis.org/2021/12/14/qgis-not-affected-by-log4j/
[3] … https://twitter.com/qgis/status/1470846720464801793?s=20