| Title | Apache Software FoundationのApache Log4cxxにおけるエンコードおよびエスケープに関する脆弱性 |
|---|---|
| Summary | Apache Log4cxx の XMLLayout https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html は、バージョン 1.7.0 より前のものにおいて、XML 1.0 仕様 https://www.w3.org/TR/xml/#charsets により禁止されている文字をログメッセージ、NDC、および MDC のプロパティキーや値の中で適切にサニタイズしないため、無効な XML 出力を生成します。適合する XML パーサは、そのような文書を致命的なエラーで拒否しなければならず、これにより下流のログ処理システムが該当する記録の取り扱いを放棄したり、インデックス作成に失敗したりする可能性があります。ログに記録されるデータに影響を与えられる攻撃者は、これを悪用して個別のログ記録を抑制し、監査記録や悪意ある活動の検知を妨げることができます。ユーザーは、この問題を修正した Apache Log4cxx 1.7.0 へアップグレードすることが推奨されます。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 10, 2026, midnight |
| Registration Date | April 23, 2026, 10:11 a.m. |
| Last Update | April 23, 2026, 10:11 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Apache Software Foundation |
| Apache Log4cxx 1.7.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月23日] 掲載 |
April 23, 2026, 10:11 a.m. |
| Summary | Apache Log4cxx's XMLLayout https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html , in versions before 1.7.0, fails to sanitize characters forbidden by the XML 1.0 specification https://www.w3.org/TR/xml/#charsets in log messages, NDC, and MDC property keys and values, producing invalid XML output. Conforming XML parsers must reject such documents with a fatal error, which may cause downstream log processing systems to drop or fail to index affected records. An attacker who can influence logged data can exploit this to suppress individual log records, impairing audit trails and detection of malicious activity. Users are advised to upgrade to Apache Log4cxx 1.7.0, which fixes this issue. |
|---|---|
| Publication Date | April 11, 2026, 1:16 a.m. |
| Registration Date | April 15, 2026, 11:36 a.m. |
| Last Update | April 21, 2026, 11:49 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:log4cxx:*:*:*:*:*:*:*:* | 1.7.0 | ||||