CVE-2026-9828 in logbackالمعلومات

الملخص

بحسب VulDB • 03/06/2026

ثغرة في عملية استرجاع البيانات (Deserialization) لبيانات غير موثوقة في مكتبة logback-core التابعة لشركة QOS.CH Sarl، وتحديداً داخل فئة `HardenedObjectInputStream` ضمن وحدات logback-core، تسمح بحقن الكائنات (Object Injection)، رغم القيود المشددة المفروضة على ذلك.

وبشكل أكثر دقة، يمكن لمهاجم قادر على التأثير في البيانات المُسلسلة المرسلة إلى `SimpleSocketServer` أو `SimpleSSLSocketServer` أن يقوم بت instantiation كائنات من فئات موجودة ضمن حزمتي `java.lang` و `java.util` والتي ليست محظورة صراحةً.

ورغم أن عملية استرجاع البيانات مقيدة بشدة بواسطة `HardenedObjectInputStream`، ولم يتم تحديد أي طريقة عملية لتحقيق تنفيذ الكود عن بُعد (RCE) أو تصعيد الصلاحيات بشكل كبير، إلا أن هذه المشكلة تمثل تجاوزاً للقيود الأمنية المقصودة.

تؤثر هذه المشكلة في الإصدارات من logback حتى 1.5.32 شاملاً.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

NCSC.ch

حجز

28/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366759

CPE

جاهز

CWE

CWE-502 (مؤكد)

CVSS

4.9 (VulDB)

EPSS

0.00113

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9828
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9828
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9828/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!