遠端主機上執行的 Apache Log4j 版本為 2.0-alpha1 至 2.25.3 版。因此，其會受到一個弱點的影響：

  - XmlLayout 無法清理 XML 1.0 規格禁止的字元，每當記錄訊息或 MDC 值包含此類字元時，就會產生無效的 XML 輸出。視 StAX 實作而定，這會在記錄期間造成格式錯誤的 XML 或例外狀況。(CVE-2026-34480)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上的 Apache Log4j 版本为 2.0-alpha1 到 2.25.3。因此，该应用程序会受到漏洞的影响：

  - XmlLayout 无法审查 XML 1.0 规范禁止的字符，因此每当日志消息或 MDC 值包含此类字符时就会产生无效的 XML 输出。根据 StAX 实现的不同，这可能会导致 XML 格式错误或在日志记录过程中出现异常。(CVE-2026-34480)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Log4j 核心的 XmlLayout https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout 在 及之前 2.25.3的版本中未能净化 XML 1.0 规范 https://www.w3.org/TR/xml/#charsets 禁止的字符，导致每当日志消息或 MDC 值包含此类字符时，输出的 XML 都是无效的。影响取决于所使用的StAX实现：* JRE内置StAX：
    禁止字符被静默写入输出，产生格式错误的 XML 格式。符合标准的解析器必须以致命错误拒绝此类文档，可能导致下游日志处理系统丢弃受影响的记录。* 替代的StAX实现（例如，Woodstox，Jackson https://github.com/FasterXML/woodstoxXML Dataformat模块的传递依赖）：日志调用过程中抛出异常，日志事件从未传递给其预定的附属方，只传递给Log4j内部状态记录器。建议用户升级到 Apache Log4j Core，该 Core 2.25.4通过在 XML 输出前净化禁用字符来纠正此问题。（CVE-2026-34480）

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Apache Log4j Core 的 XmlLayout https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout （在包含 2.25.3的版本中）未能淨化 XML 1.0 規範 https://www.w3.org/TR/xml/#charsets 禁止的字元，導致每當日誌訊息或 MDC 值包含此類字元時，輸出的 XML 即為無效。影響取決於所使用的 StAX 實作：* JRE 內建 StAX：
    禁止字元會靜默寫入輸出，產生格式錯誤的 XML 格式。符合規範的解析器必須以致命錯誤拒絕此類文件，可能導致下游日誌處理系統丟棄受影響的紀錄。* 替代的 StAX 實作（例如 Woodstox，Jackson https://github.com/FasterXML/woodstoxXML 資料格式模組的傳遞依賴）：在日誌呼叫時拋出例外，且日誌事件不會送達給其預期的附加者，只會送達 Log4j 的內部狀態記錄器。建議使用者升級至 Apache Log4j Core，該 Core 2.25.4透過在 XML 輸出前淨化禁止字元來修正此問題。（CVE-2026-34480）

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

リモートホストで実行中の Apache Log4j のバージョンは、2.0-alpha1 から 2.25.3 です。したがって、脆弱性の影響を受けます。

  - XmlLayout は、XML 1.0 仕様で禁じられている文字をサニタイズできず、ログメッセージまたは MDC 値にそのような文字が含まれている場合はいつでも、無効な XML 出力が生成されます。StAX の実装によっては、これが不正な形式の XML またはログ記録中の例外を引き起こします。(CVE-2026-34480)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Apache Log4j CoreのXmlLayout https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout は、 2.25.3までのバージョンで、XML 1.0 仕様で禁止されている文字をサニタイズできず、ログメッセージやMDC値にそのような文字が含まれている場合 https://www.w3.org/TR/xml/#charsets 無効なXML出力を生成します。影響は使用されているStAX実装によって異なります:* JRE内蔵StAX:
    禁止された文字は出力に静かに書き込まれ、歪んだXMLが生成されます。適合するパーサーは、致命的なエラーを伴う文書を拒否しなければならず、これにより下流のログ処理システムが影響を受けたレコードを破棄する可能性があります。* 代替のStAX実装(例:Woodstox https://github.com/FasterXML/woodstox、Jackson XML Dataformatモジュールの推移的依存関係):ログ呼び出し中に例外がスローされ、ログイベントは意図されたアッパーに届かず、Log4jの内部ステータスロガーにのみ届けられます。ユーザーはApache Log4j Core 2.25.4へのアップグレードを推奨されており、これはXML出力前に禁止文字をサニテリングすることでこの問題を解決します。(CVE-2026-34480)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

The version of Apache Log4j on the remote host is 2.0-alpha1 through 2.25.3. It is, therefore, affected by a vulnerability:

  - The XmlLayout fails to sanitize characters forbidden by the XML 1.0 specification, producing invalid XML     output whenever a log message or MDC value contains such characters. Depending on the StAX implementation,     this causes either malformed XML or exceptions during logging. (CVE-2026-34480)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Apache Log4j Core's XmlLayout https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout , in     versions up to and including 2.25.3, fails to sanitize characters forbidden by the XML 1.0 specification     https://www.w3.org/TR/xml/#charsets producing invalid XML output whenever a log message or MDC value     contains such characters. The impact depends on the StAX implementation in use: * JRE built-in StAX:
    Forbidden characters are silently written to the output, producing malformed XML. Conforming parsers must     reject such documents with a fatal error, which may cause downstream log-processing systems to drop the     affected records. * Alternative StAX implementations (e.g., Woodstox https://github.com/FasterXML/woodstox     , a transitive dependency of the Jackson XML Dataformat module): An exception is thrown during the logging     call, and the log event is never delivered to its intended appender, only to Log4j's internal status     logger. Users are advised to upgrade to Apache Log4j Core 2.25.4, which corrects this issue by sanitizing     forbidden characters before XML output. (CVE-2026-34480)

Note that Nessus relies on the presence of the package as reported by the vendor.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
306549	Apache Log4j 2.0-alpha1 < 2.25.4 XmlLayout 無效 XML 輸出 (CVE-2026-34480)	Nessus	Misc.	2026/4/15	2026/4/27	medium
306549	Apache Log4j 2.0-alpha1 < 2.25.4 XmlLayout 无效 XML 输出 (CVE-2026-34480)	Nessus	Misc.	2026/4/15	2026/4/27	medium
306043	Linux Distros 未修补的漏洞：CVE-2026-34480	Nessus	Misc.	2026/4/12	2026/5/5	medium
306043	Linux Distros 未修補的弱點：CVE-2026-34480	Nessus	Misc.	2026/4/12	2026/5/5	medium
306549	Apache Log4j 2.0-alpha1 < 2.25.4 XmlLayout の無効な XML 出力 (CVE-2026-34480)	Nessus	Misc.	2026/4/15	2026/4/27	medium
306043	Linux Distros のパッチ未適用の脆弱性: CVE-2026-34480	Nessus	Misc.	2026/4/12	2026/5/5	medium
306549	Apache Log4j 2.0-alpha1 < 2.25.4 XmlLayout Invalid XML Output (CVE-2026-34480)	Nessus	Misc.	2026/4/15	2026/4/27	medium
306043	Linux Distros Unpatched Vulnerability : CVE-2026-34480	Nessus	Misc.	2026/4/12	2026/5/5	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium