製品・ソフトウェアに関する情報
Vulnerability Search
Apache Software FoundationのApache Log4jにおける複数の脆弱性
Title Apache Software FoundationのApache Log4jにおける複数の脆弱性
Summary

Apache Log4j Core の Rfc5424Layout (https://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout) は、バージョン 2.21.0 から 2.25.3 までにおいて、セキュリティに関わる設定属性の非公開の名前変更により、CRLF シーケンスを利用したログインジェクションの脆弱性を引き起こしています。ストリームベースの syslog サービスを直接 Rfc5424Layout で設定しているユーザーに影響を及ぼす2つの異なる問題があります。* newLineEscape 属性が静かに名前変更されており、TCP フレーミング (RFC 6587) ユーザーの改行エスケープ機能が失われ、ログ出力において CRLF インジェクションのリスクが発生しています。* useTlsMessageFormat 属性も静かに名前変更されており、TLS フレーミング (RFC 5425) ユーザーは改行がエスケープされない非フレームTCP (RFC 6587) に静かにダウングレードされてしまいます。SyslogAppender のユーザーは影響を受けません。なぜなら、その設定属性は変更されていないからです。ユーザーはこの問題を修正した Apache Log4j Core 2.25.4 へのアップグレードを推奨されています。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 10, 2026, midnight
Registration Date April 27, 2026, 10:49 a.m.
Last Update April 27, 2026, 10:49 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Affected System
Apache Software Foundation
Apache Log4j 2.21.0 以上 2.25.4 未満
Apache Log4j 3.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 10:49 a.m.
NVD Vulnerability Information
CVE-2026-34478
Summary

Apache Log4j Core's Rfc5424Layout https://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout , in versions 2.21.0 through 2.25.3, is vulnerable to log injection via CRLF sequences due to undocumented renames of security-relevant configuration attributes.

Two distinct issues affect users of stream-based syslog services who configure Rfc5424Layout directly:

* The newLineEscape attribute was silently renamed, causing newline escaping to stop working for users of TCP framing (RFC 6587), exposing them to CRLF injection in log output.
* The useTlsMessageFormat attribute was silently renamed, causing users of TLS framing (RFC 5425) to be silently downgraded to unframed TCP (RFC 6587), without newline escaping.

Users of the SyslogAppender are not affected, as its configuration attributes were not modified.

Users are advised to upgrade to Apache Log4j Core 2.25.4, which corrects this issue.

Publication Date April 11, 2026, 1:16 a.m.
Registration Date April 15, 2026, 11:36 a.m.
Last Update April 25, 2026, 3:10 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* 2.21.0 2.25.4
cpe:2.3:a:apache:log4j:3.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta3:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List