Mirth Connect utilise toujours log4j 1.2.16, et n’inclut pas log4j 2.x.
En fait, la classe JndiLookup n’est même pas présente dans le JAR de log4j 1.x. Elle semble avoir été ajoutée dans la version 2.0. Il semble qu’elle ait été ajoutée dans la version 2.x : https://logging.apache.org/log4j/2.x/manual/lookups.html#JndiLookup.
Donc, pour autant que je puisse dire, MC n’est pas affecté par ce CVE, à moins que vous n’incluiez explicitement log4j 2.x comme une bibliothèque personnalisée.