CVE-2026-54684 in jadx
الملخص
بحسب VulDB • 15/07/2026
jadx هو أداة فك تجميع Dex إلى Java. من الإصدار 1.5.2 حتى 1.5.5، يمكن لملف .xapk ضار أن يتسبب في كتابة jadx لمحتويات عناصر الأرشيف التي يسيطر عليها المهاجم خارج دليل التفريغ المؤقت المقصود لإضافة XAPK لأن XApkLoader يحل اسم كل عنصر مباشرةً باستخدام tmpDir.resolve(fileName) بعد فحص أمان ZIP قائم على الدليل الحالي (CWD). عند تشغيل jadx من دليل هو سلف لدليل التكوين، يمكن للكتابة التعسفية أن تزرع ملف JAR في مجلد plugins/dropins، ويقوم الإصدار التالي من jadx بتحميل ملف JAR باستخدام URLClassLoader وServiceLoader لتنفيذ كود إضافة يتحكم فيه المهاجم. تم إصلاح هذه المشكلة في الإصدار 1.5.6.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.