来自Spring blog：

仅当Spring Boot用户将默认日志记录系统切换到Log4J2时，他们才会受到此漏洞的影响。我们在spring-boot-starter-logging中包含的log4j-to-slf4j和log4j-apiJAR不能单独利用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才易受攻击。

有用的解释要点：

log4j-to-slf4j是Log4J API和SLF4J之间的适配器。它确实带来了log4j-api，但没有带来log4j-core，因此我们的启动器不受此漏洞的影响。