CVE-2026-9828 in logback
요약
\~에 의해 VulDB • 2026. 05. 28.
QOS.CH Sarl의 logback logback-core(HardenedObjectInputStream(logback-core) 모듈)에서 신뢰할 수 없는 데이터의 역직렬화 취약점으로 인해, 제한이 매우 엄격함에도 불구하고 Object Injection이 가능합니다.
구체적으로, SimpleSocketServer 또는 SimpleSSLSocketServer로 전송되는 직렬화된 데이터에 영향을 줄 수 있는 공격자는 명시적으로 차단되지 않은 java.lang 및 java.util 패키지의 클래스에서 객체를 인스턴스화할 수 있습니다.
HardenedObjectInputStream에 의해 역직렬화가 매우 엄격하게 제한되고, 원격 코드 실행이나 상당한 권한 상승을 달성할 수 있는 실제적인 방법이 확인되지 않았지만, 이 문제는 의도된 보안 제한을 우회하는 것입니다.
이 문제는 logback 1.5.32(포함)까지 영향을 미칩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.