spring-boot-starter-logging 通过 log4j-to-slf4j 适配器依赖关系间接依赖于 log4j 版本 2.14。
此版本的 log4j 已成为零日漏洞的主题,如下所述:https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
这意味着,只要实际直接或间接执行 log4j 代码,所有使用 spring boot 的项目都可能遭受相同的零日攻击。
此处已打开相关票证:#28958,但该票证正在谈论可选的 log4j 2,它可以选择通过变量进行更新log4j2.version
。但这是关于没有 2 的 log4j,默认情况下,它包含在 maven 的 spring boot starters 中。