製品・ソフトウェアに関する情報
Vulnerability Search
Apache Software FoundationのApache Log4jにおけるエンコードおよびエスケープに関する脆弱性
Title Apache Software FoundationのApache Log4jにおけるエンコードおよびエスケープに関する脆弱性
Summary

Apache Log4j CoreのXmlLayout(https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout)は、バージョン2.25.3まで(含む)において、XML 1.0仕様(https://www.w3.org/TR/xml/#charsets)で禁止されている文字を適切にサニタイズできず、ログメッセージやMDC値にそのような文字が含まれている場合に無効なXML出力を生成してしまいます。影響は使用されるStAX実装に依存します。JRE組み込みのStAXでは、禁止文字がサイレントに出力され、不正なXMLが生成されます。準拠したパーサは致命的なエラーで文書を拒否するため、下流のログ処理システムが該当レコードを破棄する可能性があります。Woodstox(https://github.com/FasterXML/woodstox、Jackson XML Dataformatモジュールの推移的依存)などの代替StAX実装では、ログ呼び出し時に例外がスローされ、ログイベントは目的のアペンダーに届かずLog4j内部のステータスロガーにのみ送られます。ユーザーは、この問題をXML出力前に禁止文字をサニタイズすることで修正したApache Log4j Core 2.25.4へのアップグレードを推奨されています。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 10, 2026, midnight
Registration Date April 27, 2026, 10:49 a.m.
Last Update April 27, 2026, 10:49 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Affected System
Apache Software Foundation
Apache Log4j 2.0 以上 2.25.4 未満
Apache Log4j 3.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 10:49 a.m.
NVD Vulnerability Information
CVE-2026-34480
Summary

Apache Log4j Core's XmlLayout https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout , in versions up to and including 2.25.3, fails to sanitize characters forbidden by the XML 1.0 specification https://www.w3.org/TR/xml/#charsets producing invalid XML output whenever a log message or MDC value contains such characters.

The impact depends on the StAX implementation in use:

* JRE built-in StAX: Forbidden characters are silently written to the output, producing malformed XML. Conforming parsers must reject such documents with a fatal error, which may cause downstream log-processing systems to drop the affected records.
* Alternative StAX implementations (e.g., Woodstox https://github.com/FasterXML/woodstox , a transitive dependency of the Jackson XML Dataformat module): An exception is thrown during the logging call, and the log event is never delivered to its intended appender, only to Log4j's internal status logger.

Users are advised to upgrade to Apache Log4j Core 2.25.4, which corrects this issue by sanitizing forbidden characters before XML output.

Publication Date April 11, 2026, 1:16 a.m.
Registration Date April 15, 2026, 11:36 a.m.
Last Update April 25, 2026, 3:21 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* 2.0 2.25.4
cpe:2.3:a:apache:log4j:3.0.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:alpha1_rc1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:alpha1_rc2:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta3:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List