En 3.5, la version d’ES utilise la version 1 de log4j qui n’est pas sensible à cette attaque.
En 4, la version d’ES (6.8.12) utilisée n’est pas sensible à cette attaque.
D’autre part, à partir de la version 4.0.3 la JVM utilisée est en version >8u191 et JNDI est désactivé par défaut.