CVE-2026-54684 in jadxinfo

Zusammenfassung

von VulDB • 15.07.2026

jadx ist ein Dex-zu-Java-Decompiler. Von Version 1.5.2 bis 1.5.5 kann eine bösartige .xapk-Datei dazu führen, dass jadx Inhalte von Archiv-Einträgen, die vom Angreifer gesteuert werden, außerhalb des vorgesehenen temporären Entpackungsverzeichnisses für XAPK-Plugins schreibt, da XApkLoader jeden Eintragsnamen direkt mit tmpDir.resolve(fileName) auflöst, nachdem eine ZIP-Sicherheitsprüfung basierend auf dem aktuellen Arbeitsverzeichnis (CWD) durchgeführt wurde. Wenn jadx aus einem Verzeichnis gestartet wird, das ein Vorfahr des Konfigurationsverzeichnisses ist, kann der beliebige Schreibzugriff eine JAR-Datei in plugins/dropins ablegen, und beim nächsten Start von jadx wird die JAR-Datei mit URLClassLoader und ServiceLoader geladen, wodurch vom Angreifer gesteuerte Plugin-Codes ausgeführt werden. Dieses Problem wurde in Version 1.5.6 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379092

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!