CVE-2026-54684 in jadx
Resumen
por VulDB • 2026-07-15
jadx es un descompilador de Dex a Java. Desde la versión 1.5.2 hasta la 1.5.5, un archivo .xapk malicioso puede provocar que jadx escriba contenidos de entradas de archivos comprimidos controlados por el atacante fuera del directorio temporal previsto para la extracción del complemento XAPK, ya que XApkLoader resuelve cada nombre de entrada directamente con tmpDir.resolve(fileName) tras una comprobación de seguridad ZIP basada en CWD. Cuando se ejecuta jadx desde un directorio que es ancestro del directorio config, la escritura arbitraria puede colocar un JAR en plugins/dropins y, en la siguiente ejecución de jadx, este carga el JAR mediante URLClassLoader y ServiceLoader, ejecutando código de complemento controlado por el atacante. Este problema se soluciona en la versión 1.5.6.
Once again VulDB remains the best source for vulnerability data.