CVE-2026-34480

Name of the Vulnerable Software and Affected Versions Apache Log4j Core versões até e incluindo 2.25.3

Description O XmlLayout do Apache Log4j Core não higieniza caracteres proibidos pela especificação XML 1.0, resultando em saída XML inválida quando as mensagens de log ou os valores MDC contêm esses caracteres. O impacto varia dependendo da implementação StAX utilizada. Com o StAX integrado ao JRE, caracteres proibidos são gravados silenciosamente, levando a XML malformado que pode ser rejeitado por analisadores. Com implementações StAX alternativas como Woodstox, uma exceção é lançada, impedindo que o evento de log seja entregue ao appender pretendido.

Recommendations Atualize para o Apache Log4j Core 2.25.4 para corrigir este problema.