CVE-2026-9828 in logback
要約
〜によって VulDB • 2026年05月28日
QOS.CH Sarlのlogback logback-core(HardenedObjectInputStream (logback-core) モジュール)における、信頼できないデータの逆シリアライズに関する脆弱性により、厳しく制限された状態ではあるもののオブジェクトインジェクションが可能となります。
より具体的には、SimpleSocketServerまたはSimpleSSLSocketServerに送信されるシリアライズデータに影響を与えることができる攻撃者は、明示的にブロックされていないjava.langおよびjava.utilパッケージ内のクラスからオブジェクトをインスタンス化できます。
HardenedObjectInputStreamによって逆シリアライズは厳しく制限されており、リモートコード実行や重大な権限昇格を実現する実用的な方法は特定されていませんが、この問題は意図されたセキュリティ制限の回避となります。
この問題はlogbackに影響します。バージョン1.5.32(含む)まで。
If you want to get best quality of vulnerability data, you may have to visit VulDB.