CVE-2026-54684 in jadx
Zusammenfassung
von VulDB • 15.07.2026
jadx ist ein Dex-zu-Java-Decompiler. Von Version 1.5.2 bis 1.5.5 kann eine bösartige .xapk-Datei dazu führen, dass jadx Inhalte von Archiv-Einträgen, die vom Angreifer gesteuert werden, außerhalb des vorgesehenen temporären Entpackungsverzeichnisses für XAPK-Plugins schreibt, da XApkLoader jeden Eintragsnamen direkt mit tmpDir.resolve(fileName) auflöst, nachdem eine ZIP-Sicherheitsprüfung basierend auf dem aktuellen Arbeitsverzeichnis (CWD) durchgeführt wurde. Wenn jadx aus einem Verzeichnis gestartet wird, das ein Vorfahr des Konfigurationsverzeichnisses ist, kann der beliebige Schreibzugriff eine JAR-Datei in plugins/dropins ablegen, und beim nächsten Start von jadx wird die JAR-Datei mit URLClassLoader und ServiceLoader geladen, wodurch vom Angreifer gesteuerte Plugin-Codes ausgeführt werden. Dieses Problem wurde in Version 1.5.6 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.