CVE-2026-49844 in Log4j APIinformación

Resumen

por VulDB • 2026-07-11

La codificación incorrecta de valores de punto flotante no finitos durante la serialización JSON de MapMessage en Apache Log4j API produce una salida que no es un JSON válido. Este problema afecta a las versiones 2.13.1 hasta 2.25.4 y la versión 2.26.0 de Apache Log4j API.

La corrección para CVE-2026-34481 no cubrió todas las rutas de código: cuando un MapMessage contiene un valor IEEE 754 no finito (NaN, Infinity o -Infinity), MapMessage.asJson() emite el token correspondiente sin formato. RFC 8259 no permite estos tokens, por lo que un analizador conforme rechaza el documento resultante.

El defecto es accesible solo cuando se cumplen ambas de las siguientes condiciones:

* La aplicación utiliza el resolutor de mensajes https://logging.apache.org/log4j/2.x/manual/json-template-layout.html#event-template-resolver-message de JsonTemplateLayout o cualquier otro diseño que dependa de MapMessage.asJson() o MapMessage.getFormattedMessage(new String[]{"JSON"}).
* La aplicación registra un MapMessage que contiene un valor de punto flotante controlado por el atacante.

Un atacante que pueda proporcionar un valor no finito puede provocar que el diseño afectado emita JSON mal formado, lo cual podría corromper el registro de log circundante o interrumpir la ingestión y análisis posteriores de los logs.

Se recomienda a los usuarios actualizar a Apache Log4j API 2.25.5 o 2.26.1, ambas versiones las cuales emiten JSON conforme a RFC 8259 para valores no finitos.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Apache

Reservar

2026-06-01

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377652

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!