Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Apache Log4j Core の XmlLayout https://logging.apache.org/log4j/2.x/manual/layouts.html#XmlLayout までのバージョンでは、XML 仕様 1.02.25.3で禁止されている文字のサニタイズに失敗します https://www.w3.org/TR/xml/#charsets 。ログメッセージまたは MDC 値にそのような文字が含まれるたびに、無効な XML 出力が生成されます。影響は、使用中のStAX実装によって異なります* JREビルトインStAX
    禁止された文字がサイレントに出力に書き込まれ、無効な形式の XML が生成されます。適合パーサーは、このような致命的なエラーのあるドキュメントを拒否しなければならず、これにより、ダウンストリームのログ処理システムが影響を受けるレコードをドロップする可能性があります。 * 代替の StAX 実装例、Jackson XML Dataformat モジュールの推移的な依存関係、Woodstox https://github.com/FasterXML/woodstox例外がロギングコール中にスローされ、ログイベントはその意図されたアダーに決して渡されません。Log4j の内部ステータスロガーにのみです。ユーザーは、Apache Log4j Core 2.25.4にアップグレードすることが推奨されます。これにより、XML 出力の前に禁止された文字をサニタイズすることで、この問題が修正されます。CVE-2026-34480

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-34480

medium Nessus プラグイン ID 306043

バージョン 1.4

バージョン 1.2

バージョン 1.1

バージョン 1.4 Apr 14, 2026, 10:48 PM Detection (updated detection logic) Plugin metadata Plugin Feed: 202604142248
バージョン 1.2 Apr 13, 2026, 9:27 PM CVSS metrics ("CVSSv2 score" set to 5.0) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:U/RC:C") CVSSv2 score source (set to "CVE-2026-34480") CVSSv2 severity (based on CVE-2026-34480, severity decreased from "High" to "Medium") Detection (updated detection logic) Plugin metadata Plugin Feed: 202604132127
バージョン 1.1 Apr 12, 2026, 11:32 PM New Plugin Feed: 202604122332