CVE-2026-49844 in Log4j APIinfo

Zusammenfassung

von VulDB • 10.07.2026

Eine unsachgemäße Codierung von nicht-endlichen Gleitkommawerten während der MapMessage-JSON-Serialisierung in Apache Log4j API erzeugt Ausgaben, die kein gültiges JSON darstellen. Diese Problematik betrifft Versionen 2.13.1 bis 2.25.4 sowie Version 2.26.0 von Apache Log4j API.

Die Korrektur für CVE-2026-34481 deckte nicht alle Codepfade ab: Wenn eine MapMessage einen nicht-endlichen IEEE-754-Wert (NaN, Infinity oder -Infinity) enthält, gibt `MapMessage.asJson()` das entsprechende rohe Token aus. RFC 8259 erlaubt diese Tokens nicht, sodass ein konformer Parser das resultierende Dokument ablehnt.

Der Fehler ist nur erreichbar, wenn beide folgenden Bedingungen erfüllt sind:

* Die Anwendung verwendet den Message-Resolver https://logging.apache.org/log4j/2.x/manual/json-template-layout.html#event-template-resolver-message von JsonTemplateLayout oder ein anderes Layout, das auf `MapMessage.asJson()` oder `MapMessage.getFormattedMessage(new String[]{"JSON"})` basiert.
* Die Anwendung protokolliert eine MapMessage, die einen vom Angreifer kontrollierten Gleitkommawert enthält.

Ein Angreifer, der in der Lage ist, einen nicht-endlichen Wert bereitzustellen, kann dazu führen, dass das betroffene Layout fehlerhaftes JSON ausgibt, was den umgebenden Protokolleintrag beschädigen oder die nachgelagerte Protokollierungsaufnahme und -analyse stören kann.

Benutzern wird empfohlen, auf Apache Log4j API 2.25.5 oder 2.26.1 zu aktualisieren; beide Versionen erzeugen RFC-8259-konformes JSON für nicht-endliche Werte.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Apache

Reservieren

01.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377652

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!