En vista de la vulnerabilidad log4j2, el proyecto requiere reemplazar todo log4j o actualizar log4j a una versión segura, porque la versión log4j 1 ha quedado obsoleta durante mucho tiempo y las versiones afectadas por la vulnerabilidad log4j2 son: log4j 2.0<2.4. 1, 2.4<2.12.2, 2.13.0<2.16.0, el proceso de análisis y solución es el siguiente:
Analice el log4j utilizado en el proyecto a través de la herramienta de gestión maven, haga clic en la idea:
Aparece la estructura que se muestra en la siguiente figura:
En la región world shift + f search log4j:
Haga clic para encontrar el paquete relacionado con log4j, haga doble clic para ver la versión de log4j, el resultado es 2.13.3 está dentro del alcance de la vulnerabilidad, elimine el método log4j-api:
Eliminar la dependencia de log4j-api que viene con springboot
<dependencia>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusiones>
<exclusión>
<groupId>org.apache.logging.log4j</groupId>
< artefactoId>log4j-api</artifactId>
</exclusión
> </exclusiones>
</dependencia>