JVNDB-2026-014666

Apache Software FoundationのApache Log4jにおけるエンコードおよびエスケープに関する脆弱性

Apache Log4j 1-to-Log4j 2ブリッジのLog4j1XmlLayoutは、XML 1.0標準で禁止されている文字をエスケープできず、不正なXML出力を生成します。準拠したXMLパーサーは、このような文字を含むドキュメントを致命的なエラーとして拒否し、その結果、下流のログ処理システムが対象のレコードを破棄したりインデックス化に失敗したりする可能性があります。影響を受けるユーザーは次の2つのグループに分かれます。・Log4j Core 2の設定ファイルでLog4j1XmlLayoutを直接使用しているユーザー・レイアウトクラスとしてorg.apache.log4j.xml.XMLLayoutを指定しているLog4j 1設定互換レイヤーを使用しているユーザーです。ユーザーは、この問題を修正したApache Log4j 1-to-Log4j 2ブリッジバージョン2.25.4へアップグレードすることを推奨します。注意：Apache Log4j 1-to-Log4j 2ブリッジは廃止予定であり、Log4j 3には含まれません。ユーザーはLog4j 1からLog4j 2へのマイグレーションガイドhttps://logging.apache.org/log4j/2.x/migrate-from-log4j1.html を参照し、特にブリッジへの依存を排除するセクションを確認することを推奨します。

Apache Software Foundation

• Apache Log4j 2.7 以上 2.25.4 未満
• Apache Log4j 3.0.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache Logging Services : https://logging.apache.org/cyclonedx/vdr.xml
• Apache Logging Services : Security :: Apache Logging Services

1. 不適切なエンコード、または出力のエスケープ(CWE-116) [その他]

1. CVE-2026-34479

1. National Vulnerability Database (NVD) : CVE-2026-34479
2. 関連文書 : CVE-2026-34479: Apache Log4j 1 to Log4j 2 bridge: Silent log event loss in Log4j1XmlLayout due to unescaped XML 1.0 forbidden characters-Apache Mail Archives
3. 関連文書 : Migrating from Log4j 1 :: Apache Log4j
4. 関連文書 : oss-security - CVE-2026-34479: Apache Log4j 1 to Log4j 2 bridge: Silent log event loss in Log4j1XmlLayout due to unescaped XML 1.0 forbidden characters
5. 関連文書 : Log4j1XmlLayout: replace invalid XML characters with U+FFFD by ppkarwasz  Pull Request #4078  apache/logging-log4j2  GitHub

• [2026年05月08日]
    掲載