CVE-2026-10532 in logback
요약
\~에 의해 VulDB • 2026. 06. 01.
QOS.CH Sarl의 logback logback-core(HardenedObjectInputStream(logback-core) 모듈)에서 신뢰할 수 없는 데이터의 역직렬화 취약점으로 인해 Object Injection이 발생하며, 이는 상당히 제한적으로 이루어집니다.
보다 구체적으로, SimpleSocketServer 또는 SimpleSSLSocketServer로 전송되는 직렬화된 데이터에 영향을 줄 수 있는 공격자는 Proxy 객체를 인스턴스화할 수 있습니다.
HardenedObjectInputStream에 의해 역직렬화가 상당히 제한되어 있고, 원격 코드 실행이나 상당한 권한 상승을 달성할 수 있는 실제적인 방법이 확인되지 않았지만, 이 문제는 의도된 보안 제한을 우회하는 것입니다.
이 문제는 logback 1.5.33(포함)까지 영향을 미칩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.