Log4Shell (CVE-2021-44228) là một lỗ hổng zero-day có liên quan đến phương thức tấn công thực thi mã từ xa tồn tại trong thư viện Log4j, một thư viện ghi nhật trình phổ biến cho ngôn ngữ lập trình Java. Lỗ hổng này tồn tại mà không được phát hiện từ năm 2013; vào ngày 24 tháng 11 năm 2021, Chen Zhaojun, một thành viên của đội ngũ an ninh của công ty Alibaba Cloud, đã thông báo kín về lỗ hổng cho đơn vị phát triển và chủ quản của dự án Log4j là Quỹ Phần mềm Apache. Lỗ hổng được biết đến với cái tên "Log4Shell" trước khi được gán mã định danh CVE chính thức vào ngày 10 tháng 12 năm 2021; tên gọi này được thành viên LunaSec Free Wortley đặt để sử dụng trong việc theo dõi. Log4Shell được Apache chấm điểm 10 trên thang đo độ nghiêm trọng CVSS (Common Vulnerability Scoring System) - số điểm cao nhất trên thang đánh giá này. Lỗ hổng này rất dễ khai thác, và đã có khả năng ảnh hưởng đến hàng trăm triệu thiết bị. Log4Shell lợi dụng việc thư viện Log4j cho phép gửi yêu cầu đến các máy chủ LDAP và JNDI bất kì để cho phép tin tặc chạy mã Java trên máy chủ hoặc máy tính cá nhân của nạn nhân, hoặc làm rò rỉ thông tin nhạy cảm trên các thiết bị này. Đội ngũ An ninh Apache đã công bố danh sách những dự án phần mềm bị ảnh hưởng. Các dịch vụ thương mại bị ảnh hưởng bao gồm Amazon Web Services, Cloudflare, iCloud, Minecraft: Java Edition, Steam, Tencent QQ, và nhiều dịch vụ khác. Theo Wiz và EY, lỗ hổng này ảnh hưởng đến 93% các môi trường điện toán đám mây doanh nghiệp. Việc lỗ hổng này được công bố đã nhận được nhiều phản ứng mạnh từ các chuyên gia an ninh mạng. Công ty an ninh mạng Tenable cho rằng lỗ hổng này là "lỗ hổng lớn nhất, nguy hiểm nhất từ trước đến nay," Ars Technica nói rằng Log4Shell là "lỗ hổng có thể là nguy hiểm nhất lịch sử," và The Washington Post báo rằng những lời mô tả về lỗ hổng của các chuyên gia an ninh "gần như đang mô tả lại một ngày tận thế."