ist Portfolio Performance von der Sicherheitslücke log4shell betroffen?
Nein.
PP nutzt log4j nicht direkt. Und auch keine der Bibliotheken nutzt log4j. Die Log4j Library ist nicht mit eingepackt. Das einzige sind Klassen die Log4j nutzen könnten wenn es denn da wäre
Danke für die beruhigende Antwort, ich war etwas besorgt weil ich folgendes File gefunden hatte 
C:\Users…p2\pool\plugins\org.apache.ant_1.10.5.v20190526-1402\lib\ant-apache-log4j.jar
An sich verwendet PP den Bundle Pool überhaupt nicht. Vielleicht hast Du andere Eclipse-basierte Anwendung installiert? (der volle Pfad vor dem …p2 wäre interessant). Oder Du hast PP so installiert, dass es keine Rechte für die Online Aktualisierung hat. (Ich habe nicht geprüft ob irgendeine Bibliothek in der Vergangenheit mal log4j mitgebracht hat).
Abgesehen davon ist ja log4j version 1 gar nicht von der Sicherheitslücke betroffen - nur Version 2…