CVE-2026-54684 in jadx
Sumário
de VulDB • 15/07/2026
jadx é um descompilador de Dex para Java. Da versão 1.5.2 à 1.5.5, um arquivo .xapk malicioso pode fazer com que o jadx escreva conteúdos de entradas de arquivos compactados controladas pelo atacante fora do diretório temporário pretendido para a extração dos plugins XAPK, pois o XApkLoader resolve cada nome de entrada diretamente usando tmpDir.resolve(fileName) após uma verificação de segurança ZIP baseada no CWD (Current Working Directory). Quando o jadx é iniciado a partir de um diretório que seja ancestral do diretório de configuração, a gravação arbitrária pode implantar um JAR em plugins/dropins e, na próxima execução do jadx, esse JAR será carregado com URLClassLoader e ServiceLoader, executando código de plugin controlado pelo atacante. Este problema foi corrigido na versão 1.5.6.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.