CVE-2026-54684 in jadxالمعلومات

الملخص

بحسب VulDB • 15/07/2026

jadx هو أداة فك تجميع Dex إلى Java. من الإصدار 1.5.2 حتى 1.5.5، يمكن لملف .xapk ضار أن يتسبب في كتابة jadx لمحتويات عناصر الأرشيف التي يسيطر عليها المهاجم خارج دليل التفريغ المؤقت المقصود لإضافة XAPK لأن XApkLoader يحل اسم كل عنصر مباشرةً باستخدام tmpDir.resolve(fileName) بعد فحص أمان ZIP قائم على الدليل الحالي (CWD). عند تشغيل jadx من دليل هو سلف لدليل التكوين، يمكن للكتابة التعسفية أن تزرع ملف JAR في مجلد plugins/dropins، ويقوم الإصدار التالي من jadx بتحميل ملف JAR باستخدام URLClassLoader وServiceLoader لتنفيذ كود إضافة يتحكم فيه المهاجم. تم إصلاح هذه المشكلة في الإصدار 1.5.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

16/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379092

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!