在我们的应用程序中,我们使用slf4j.1.7.5和log4j作为底层日志记录框架。我们已经声明了org.slf4j:slf4j-log4j12
,因此log4j.1.2.17会自动添加到我们的库中(更多信息在此处http://www.slf4j.org/manual.html),但是根据https://nvd.nist.gov/vuln/detail/CVE-2019-17571,此版本的log4j容易受到攻击,因此不应该不被使用。我试图将slf4j的版本更新为最新版本,但仍使用相同的log4j。
我的问题是,是否可以为slf4j更改log4j的版本?