项目引用了org.apache.logging.log4j:log4j-core等172个开源组件，存在29个漏洞，建议升级

[ghost]

大佬，你好，我是@abbykimi，我IDE运行您这个项目的时候，提示有几个漏洞，项目调用了org.apache.logging.log4j:log4j-core等172个开源组件，存在29个安全漏洞，建议你升级下。

漏洞标题：Apache Log4j2 < 2.15.0远程代码执行漏洞
漏洞编号：CVE-2021-44228
漏洞描述：
Apache log4j是java中常用的日志记录组件，攻击者发现在小于2.15.0的版本中存在远程代码执行漏洞。
漏洞原因：
由于log4j2默认支持JNDI在内的Lookup查找机制，当日志内容中包含${foo.bar}样式的内容时，会查找相应的值进行替换。因此当用户请求中的内容通过log4j作为日志内容记录时，攻击者可能通过恶意构造的内容，触发log4j的lookup方法，进而执行恶意代码。

影响范围：[2.0-beta9, 2.3.1)
最小修复版本：2.3.1
引入路径：
com.alipay.sofa:jraft-rheakv-core@1.3.9->com.alipay.sofa:bolt@1.6.4->com.alipay.sofa.common:sofa-common-tools@1.0.12->org.apache.logging.log4j:log4j-core@2.3

另外28个漏洞 ，信息有点多我就不贴了，你自己看下完整报告：https://www.mfsec.cn/jr?p=i2c0ec

如果你对这个issues有任何疑问可以回复我哈( @abbykimi )，我会及时回复你的。

[fengjiachun]

你好，感谢指出漏洞，不过完整报告貌似无法查看， issue 上的 log4j2 版本也高于扫描的版本，建议把完整报告先放进 issue 里