CVE-2026-54684 in jadx情報

要約

〜によって VulDB • 2026年07月15日

jadxはDexからJavaへのデコンパイラです。バージョン1.5.2から1.5.5の間、悪意のある.xapkファイルにより、XApkLoaderがCWDベースのZIPセキュリティチェック後にtmpDir.resolve(fileName)を使用して各エントリ名を直接解決するため、jadxは攻撃者が制御するアーカイブエントリのコンテンツを、意図されたXAPKプラグインの一時的な展開ディレクトリの外部に書き込む可能性があります。jadxの設定ディレクトリの先祖であるディレクトリから起動した場合、この任意のファイル書き込みによりplugins/dropins内にJARファイルを配置でき、次のjadxの実行時にURLClassLoaderとServiceLoaderによってそのJARが読み込まれ、攻撃者が制御するプラグインコードが実行されます。本問題はバージョン1.5.6で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年06月16日

モデレーション

承諾済み

エントリ

VDB-379092

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!