製品・ソフトウェアに関する情報
Vulnerability Search
Apache Software FoundationのApache Log4jにおけるエンコードおよびエスケープに関する脆弱性
Title Apache Software FoundationのApache Log4jにおけるエンコードおよびエスケープに関する脆弱性
Summary

Apache Log4jのJsonTemplateLayout(https://logging.apache.org/log4j/2.x/manual/json-template-layout.html)は、バージョン2.25.3まで(含む)において、ログイベントが非有限浮動小数点値(NaN、Infinity、または-Infinity)を含む場合に無効なJSON出力を生成します。これらの値はRFC 8259で禁止されており、その結果、下流のログ処理システムが影響を受けたレコードを拒否したり、インデックス作成に失敗したりする可能性があります。攻撃者がこの問題を悪用するには、以下の両方の条件を満たす必要があります。* アプリケーションがJsonTemplateLayoutを使用していること。* アプリケーションが攻撃者が制御する浮動小数点値を含むMapMessageをログに記録していること。ユーザーは、この問題を修正したApache Log4j JSON Template Layout 2.25.4へアップグレードすることを推奨します。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 10, 2026, midnight
Registration Date April 27, 2026, 10:49 a.m.
Last Update April 27, 2026, 10:49 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Affected System
Apache Software Foundation
Apache Log4j 2.14.0 以上 2.25.4 未満
Apache Log4j 3.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 10:49 a.m.
NVD Vulnerability Information
CVE-2026-34481
Summary

Apache Log4j's JsonTemplateLayout https://logging.apache.org/log4j/2.x/manual/json-template-layout.html , in versions up to and including 2.25.3, produces invalid JSON output when log events contain non-finite floating-point values (NaN, Infinity, or -Infinity), which are prohibited by RFC 8259. This may cause downstream log processing systems to reject or fail to index affected records.

An attacker can exploit this issue only if both of the following conditions are met:

* The application uses JsonTemplateLayout.
* The application logs a MapMessage containing an attacker-controlled floating-point value.

Users are advised to upgrade to Apache Log4j JSON Template Layout 2.25.4, which corrects this issue.

Publication Date April 11, 2026, 1:16 a.m.
Registration Date April 15, 2026, 11:36 a.m.
Last Update April 25, 2026, 3:24 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* 2.14.0 2.25.4
cpe:2.3:a:apache:log4j:3.0.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:alpha1_rc1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:alpha1_rc2:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta3:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List