更新时间:2023-09-13 09:26:58
来自Spring blog:
仅当Spring Boot用户将默认日志记录系统切换到Log4J2时,他们才会受到此漏洞的影响。我们在spring-boot-starter-logging
中包含的log4j-to-slf4j
和log4j-api
JAR不能单独利用。只有使用log4j-core
并在日志消息中包含用户输入的应用程序才易受攻击。
有用的解释要点:
log4j-to-slf4j
是Log4J API和SLF4J之间的适配器。它确实带来了log4j-api
,但没有带来log4j-core
,因此我们的启动器不受此漏洞的影响。