| タイトル | Apache Software FoundationのApache Log4jにおけるエンコードおよびエスケープに関する脆弱性 |
|---|---|
| 概要 | Apache Log4jのJsonTemplateLayout(https://logging.apache.org/log4j/2.x/manual/json-template-layout.html)は、バージョン2.25.3まで(含む)において、ログイベントが非有限浮動小数点値(NaN、Infinity、または-Infinity)を含む場合に無効なJSON出力を生成します。これらの値はRFC 8259で禁止されており、その結果、下流のログ処理システムが影響を受けたレコードを拒否したり、インデックス作成に失敗したりする可能性があります。攻撃者がこの問題を悪用するには、以下の両方の条件を満たす必要があります。* アプリケーションがJsonTemplateLayoutを使用していること。* アプリケーションが攻撃者が制御する浮動小数点値を含むMapMessageをログに記録していること。ユーザーは、この問題を修正したApache Log4j JSON Template Layout 2.25.4へアップグレードすることを推奨します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月10日0:00 |
| 登録日 | 2026年4月27日10:49 |
| 最終更新日 | 2026年4月27日10:49 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Apache Software Foundation |
| Apache Log4j 2.14.0 以上 2.25.4 未満 |
| Apache Log4j 3.0.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日10:49 |
| 概要 | Apache Log4j's JsonTemplateLayout https://logging.apache.org/log4j/2.x/manual/json-template-layout.html , in versions up to and including 2.25.3, produces invalid JSON output when log events contain non-finite floating-point values (NaN, Infinity, or -Infinity), which are prohibited by RFC 8259. This may cause downstream log processing systems to reject or fail to index affected records. An attacker can exploit this issue only if both of the following conditions are met: * The application uses JsonTemplateLayout. Users are advised to upgrade to Apache Log4j JSON Template Layout 2.25.4, which corrects this issue. |
|---|---|
| 公表日 | 2026年4月11日1:16 |
| 登録日 | 2026年4月15日11:36 |
| 最終更新日 | 2026年4月25日3:24 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 2.14.0 | 2.25.4 | |||
| cpe:2.3:a:apache:log4j:3.0.0:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:log4j:3.0.0:alpha1_rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:log4j:3.0.0:alpha1_rc2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:log4j:3.0.0:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:log4j:3.0.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:log4j:3.0.0:beta3:*:*:*:*:*:* | |||||