CVE-2026-9828 in logback
Tóm tắt
Bởi VulDB • 29/05/2026
Lỗ hổng giải mã hóa dữ liệu không đáng tin cậy trong QOS.CH Sarl logback logback-core (các mô-đun HardenedObjectInputStream (logback-core)) cho phép tiêm đối tượng (Object Injection), mặc dù bị hạn chế rất nhiều.
Cụ thể hơn, một kẻ tấn công có khả năng ảnh hưởng đến dữ liệu đã được tuần tự hóa gửi đến SimpleSocketServer hoặc SimpleSSLSocketServer có thể khởi tạo các đối tượng từ các lớp trong các gói java.lang và java.util không bị chặn rõ ràng.
Mặc dù việc giải mã hóa bị hạn chế rất nhiều bởi HardenedObjectInputStream và chưa xác định được cách thực tế nào để thực thi mã từ xa (RCE) hoặc nâng cấp đặc quyền đáng kể, vấn đề này vẫn cấu thành một sự vượt qua các hạn chế bảo mật dự kiến.
Vấn đề này ảnh hưởng đến logback: qua phiên bản 1.5.32 trở xuống (bao gồm cả 1.5.32).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.