製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Apache Software FoundationのApache Log4cxxにおけるエンコードおよびエスケープに関する脆弱性

タイトル	Apache Software FoundationのApache Log4cxxにおけるエンコードおよびエスケープに関する脆弱性
概要	Apache Log4cxx の XMLLayout https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html は、バージョン 1.7.0 より前のものにおいて、XML 1.0 仕様 https://www.w3.org/TR/xml/#charsets により禁止されている文字をログメッセージ、NDC、および MDC のプロパティキーや値の中で適切にサニタイズしないため、無効な XML 出力を生成します。適合する XML パーサは、そのような文書を致命的なエラーで拒否しなければならず、これにより下流のログ処理システムが該当する記録の取り扱いを放棄したり、インデックス作成に失敗したりする可能性があります。ログに記録されるデータに影響を与えられる攻撃者は、これを悪用して個別のログ記録を抑制し、監査記録や悪意ある活動の検知を妨げることができます。ユーザーは、この問題を修正した Apache Log4cxx 1.7.0 へアップグレードすることが推奨されます。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月10日0:00
登録日	2026年4月23日10:11
最終更新日	2026年4月23日10:11

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

Apache Software Foundation

Apache Log4cxx 1.7.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40023	https://www.cve.org/CVERecord?id=CVE-2026-40023
National Vulnerability Database (NVD)
2	CVE-2026-40023	https://nvd.nist.gov/vuln/detail/CVE-2026-40023
Pony Mail
3	CVE-2026-40023: Apache Log4cxx, Apache Log4cxx (Conan), Apache Log4cxx (Brew): Silent log event loss in XMLLayout due to unescaped XML 1.0 forbidden characters-Apache Mail Archives	https://lists.apache.org/thread/y15cv3zblg3dfwr5vy6ddbnl4zyrzr8b

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-116	https://cwe.mitre.org/data/definitions/116.html

ベンダー情報

No	名前	URL
Apache Logging Services
1	Security :: Apache Logging Services	https://logging.apache.org/security.html#CVE-2026-40023
Openwall mailing list archives
2	oss-security - CVE-2026-40023: Apache Log4cxx, Apache Log4cxx (Conan), Apache Log4cxx (Brew): Silent log event loss in XMLLayout due to unescaped XML 1.0 forbidden characters	http://www.openwall.com/lists/oss-security/2026/04/10/12

その他

No	名前	URL
関連文書
1	Apache Log4cxx: log4cxx::xml::XMLLayout Class Reference	https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html
2	https://logging.apache.org/cyclonedx/vdr.xml	https://logging.apache.org/cyclonedx/vdr.xml
3	Strip illegal characters in XML output and HTML attributes by swebb2066 Pull Request #609 apache/logging-log4cxx GitHub	https://github.com/apache/logging-log4cxx/pull/609

変更履歴

No	変更内容	変更日
1	[2026年04月23日] 掲載	2026年4月23日10:11

NVD脆弱性情報

CVE-2026-40023

概要	Apache Log4cxx's XMLLayout https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html , in versions before 1.7.0, fails to sanitize characters forbidden by the XML 1.0 specification https://www.w3.org/TR/xml/#charsets in log messages, NDC, and MDC property keys and values, producing invalid XML output. Conforming XML parsers must reject such documents with a fatal error, which may cause downstream log processing systems to drop or fail to index affected records. An attacker who can influence logged data can exploit this to suppress individual log records, impairing audit trails and detection of malicious activity. Users are advised to upgrade to Apache Log4cxx 1.7.0, which fixes this issue.
公表日	2026年4月11日1:16
登録日	2026年4月15日11:36
最終更新日	2026年4月21日23:49

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:log4cxx::::::::					1.7.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/apache/logging-log4cxx/pull/609	security@apache.org
2	https://lists.apache.org/thread/y15cv3zblg3dfwr5vy6ddbnl4zyrzr8b	security@apache.org
3	https://logging.apache.org/cyclonedx/vdr.xml	security@apache.org
4	https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html	security@apache.org
5	https://logging.apache.org/security.html#CVE-2026-40023	security@apache.org
6	http://www.openwall.com/lists/oss-security/2026/04/10/12	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-116	不適切なエンコード、または出力のエスケープ	https://cwe.mitre.org/data/definitions/116.html