Servus,
wenn ich ein Jar habe, das "nur" auf meinem Rechner liegt, das jar aber nicht aktiv ausgeführt wird. Dort ist aber definitiv eine alte Log4J drin, dann kann doch diese Lücke nur dann ausgenutzt werden, wenn ich auf meinem Rechner ein Programm ausführe, das dann nach angreifbaren jar sucht.
Der passende Vergleich wäre ein Virus (in der Biologie): solange ein Virus nur so herumliegt, ist es ungefährlich. Erst wenn es in einer Umgebung ist in der sein DNA oder RNA Code 'ausgeführt' wird, kann es sich in seinem Wirt vermehren. (Also ja.)