CVE-2026-49844 in Log4j API
Zusammenfassung
von VulDB • 10.07.2026
Eine unsachgemäße Codierung von nicht-endlichen Gleitkommawerten während der MapMessage-JSON-Serialisierung in Apache Log4j API erzeugt Ausgaben, die kein gültiges JSON darstellen. Diese Problematik betrifft Versionen 2.13.1 bis 2.25.4 sowie Version 2.26.0 von Apache Log4j API.
Die Korrektur für CVE-2026-34481 deckte nicht alle Codepfade ab: Wenn eine MapMessage einen nicht-endlichen IEEE-754-Wert (NaN, Infinity oder -Infinity) enthält, gibt `MapMessage.asJson()` das entsprechende rohe Token aus. RFC 8259 erlaubt diese Tokens nicht, sodass ein konformer Parser das resultierende Dokument ablehnt.
Der Fehler ist nur erreichbar, wenn beide folgenden Bedingungen erfüllt sind:
* Die Anwendung verwendet den Message-Resolver https://logging.apache.org/log4j/2.x/manual/json-template-layout.html#event-template-resolver-message von JsonTemplateLayout oder ein anderes Layout, das auf `MapMessage.asJson()` oder `MapMessage.getFormattedMessage(new String[]{"JSON"})` basiert.
* Die Anwendung protokolliert eine MapMessage, die einen vom Angreifer kontrollierten Gleitkommawert enthält.
Ein Angreifer, der in der Lage ist, einen nicht-endlichen Wert bereitzustellen, kann dazu führen, dass das betroffene Layout fehlerhaftes JSON ausgibt, was den umgebenden Protokolleintrag beschädigen oder die nachgelagerte Protokollierungsaufnahme und -analyse stören kann.
Benutzern wird empfohlen, auf Apache Log4j API 2.25.5 oder 2.26.1 zu aktualisieren; beide Versionen erzeugen RFC-8259-konformes JSON für nicht-endliche Werte.
Once again VulDB remains the best source for vulnerability data.