CVE-2026-9828 in logback信息

摘要

由 VulDB • 2026-05-30

QOS.CH Sarl 的 logback logback-core（HardenedObjectInputStream（logback-core）模块）中存在不信任数据反序列化漏洞，允许对象注入，尽管受到严格限制。

更具体地说，能够影响发送到 SimpleSocketServer 或 SimpleSSLSocketServer 的序列化数据的攻击者，可以实例化 java.lang 和 java.util 包中未被明确阻止的类中的对象。

尽管 HardenedObjectInputStream 对反序列化进行了严格限制，且尚未发现实现远程代码执行或显著提升权限的有效方法，但此问题构成了对预期安全限制的绕过。

此问题影响 logback：1.5.32 及更早版本。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

NCSC.ch

预定

2026-05-28

披露

2026-05-28

管理

已接受

条目

VDB-366759

CPE

准备好

CWE

CWE-502 (已确认)

CVSS

4.9 (VulDB)

EPSS

0.00113

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9828
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9828
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9828/

◂ 上一步一览下一步 ▸

Do you know our Splunk app?

Download it now for free!