MyBatis-Plus mybatis-plus因为log4j-api引起的漏洞CVE-2021-44228

当前使用版本(必填,否则不予处理)

3.4.2

该问题是如何引起的？(确定最新版也有问题再提!!!)

目前该软件中有log4j-api的依赖组件，由于Apache-log4j目前有漏洞CVE-2021-44228，引起，mybatis-plus目前也存在漏洞

重现步骤(如果有就写完整)

报错信息

Comment From: miemieYaho

去 https://mvnrepository.com/ 把我们依赖log4j-api的证据找出来再说这话

Comment From: Fengwenww

3.4.2版本中，MyBatis-Plus 组件mybatis-plus-boot-starter 3.4.2依赖spring-boot-starter-jdbc 2.3.2.RELEASE，spring-boot-starter-jdbc 依赖 spring-boot-starter 2.3.2.RELEASE， spring-boot-starter 依赖spring-boot-starter-logging 2.3.2.RELEASE，spring-boot-starter-logging依赖log4j-to-slf4j 2.13.3，log4j-to-slf4j 依赖log4j-api 2.13.3。存在这种层层依赖关系所以3.4.2目前也受这个漏洞的影响

Comment From: jptx1234

log4j-api 只是个API，只提供外面的壳子，没有实际的日志功能，log4j-core才是真正执行打日志的地方。 出问题的是core，不是API，这次漏洞很多人都搞混了。