CVE-2026-54684 in jadxinformación

Resumen

por VulDB • 2026-07-15

jadx es un descompilador de Dex a Java. Desde la versión 1.5.2 hasta la 1.5.5, un archivo .xapk malicioso puede provocar que jadx escriba contenidos de entradas de archivos comprimidos controlados por el atacante fuera del directorio temporal previsto para la extracción del complemento XAPK, ya que XApkLoader resuelve cada nombre de entrada directamente con tmpDir.resolve(fileName) tras una comprobación de seguridad ZIP basada en CWD. Cuando se ejecuta jadx desde un directorio que es ancestro del directorio config, la escritura arbitraria puede colocar un JAR en plugins/dropins y, en la siguiente ejecución de jadx, este carga el JAR mediante URLClassLoader y ServiceLoader, ejecutando código de complemento controlado por el atacante. Este problema se soluciona en la versión 1.5.6.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-16

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379092

CPE

listo

EPSS

0.00133

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!