製品・ソフトウェアに関する情報
脆弱性検索
Apache Software FoundationのApache Log4jにおける複数の脆弱性
タイトル Apache Software FoundationのApache Log4jにおける複数の脆弱性
概要

Apache Log4j Core の Rfc5424Layout (https://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout) は、バージョン 2.21.0 から 2.25.3 までにおいて、セキュリティに関わる設定属性の非公開の名前変更により、CRLF シーケンスを利用したログインジェクションの脆弱性を引き起こしています。ストリームベースの syslog サービスを直接 Rfc5424Layout で設定しているユーザーに影響を及ぼす2つの異なる問題があります。* newLineEscape 属性が静かに名前変更されており、TCP フレーミング (RFC 6587) ユーザーの改行エスケープ機能が失われ、ログ出力において CRLF インジェクションのリスクが発生しています。* useTlsMessageFormat 属性も静かに名前変更されており、TLS フレーミング (RFC 5425) ユーザーは改行がエスケープされない非フレームTCP (RFC 6587) に静かにダウングレードされてしまいます。SyslogAppender のユーザーは影響を受けません。なぜなら、その設定属性は変更されていないからです。ユーザーはこの問題を修正した Apache Log4j Core 2.25.4 へのアップグレードを推奨されています。

想定される影響 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年4月10日0:00
登録日 2026年4月27日10:49
最終更新日 2026年4月27日10:49
CVSS3.0 : 重要
スコア 7.5
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
影響を受けるシステム
Apache Software Foundation
Apache Log4j 2.21.0 以上 2.25.4 未満
Apache Log4j 3.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年04月27日]
  掲載		 2026年4月27日10:49
NVD脆弱性情報
CVE-2026-34478
概要

Apache Log4j Core's Rfc5424Layout https://logging.apache.org/log4j/2.x/manual/layouts.html#RFC5424Layout , in versions 2.21.0 through 2.25.3, is vulnerable to log injection via CRLF sequences due to undocumented renames of security-relevant configuration attributes.

Two distinct issues affect users of stream-based syslog services who configure Rfc5424Layout directly:

* The newLineEscape attribute was silently renamed, causing newline escaping to stop working for users of TCP framing (RFC 6587), exposing them to CRLF injection in log output.
* The useTlsMessageFormat attribute was silently renamed, causing users of TLS framing (RFC 5425) to be silently downgraded to unframed TCP (RFC 6587), without newline escaping.

Users of the SyslogAppender are not affected, as its configuration attributes were not modified.

Users are advised to upgrade to Apache Log4j Core 2.25.4, which corrects this issue.

公表日 2026年4月11日1:16
登録日 2026年4月15日11:36
最終更新日 2026年4月25日3:10
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* 2.21.0 2.25.4
cpe:2.3:a:apache:log4j:3.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:apache:log4j:3.0.0:beta3:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧