CVE-2026-9828 in logbackИнформация

Сводка

по VulDB • 28.05.2026

Уязвимость десериализации недоверенных данных в модулях logback-core (HardenedObjectInputStream) системы логирования logback компании QOS.CH Sarl позволяет осуществлять инъекцию объектов, хотя и с серьезными ограничениями.

Точнее говоря, злоумышленник, способный влиять на сериализованные данные, отправляемые в SimpleSocketServer или SimpleSSLSocketServer, может создавать экземпляры объектов из классов пакетов java.lang и java.util, которые не были явно заблокированы.

Хотя десериализация строго ограничена с помощью HardenedObjectInputStream и не было выявлено практических способов выполнения удаленного кода (RCE) или значительного повышения привилегий, данная проблема представляет собой обход предусмотренных ограничений безопасности.

Эта проблема затрагивает logback: версии вплоть до 1.5.32 включительно.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

NCSC.ch

Резервировать

28.05.2026

Раскрытие

28.05.2026

Модерация

принято

Вход

VDB-366759

EPSS

0.00113

KEV

Нет

Деятельности

Очень низкий

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9828
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9828
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9828/

ПредыдущийОбзорДалее

Do you know our Splunk app?

Download it now for free!