PT-2026-3646 · Qos.Ch · Logback-Core

Google Fuzz

Publicado

2026-01-01

Atualizado

2026-05-20

CVE-2026-1225

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Versões do logback-core anteriores à 1.5.25

Descrição Existe um problema de processamento de arquivo de configuração no QOS.CH logback-core, potencialmente permitindo que um atacante instancie classes já presentes no classpath do sistema manipulando um arquivo de configuração do logback. A exploração bem-sucedida requer acesso de escrita a um arquivo de configuração e a presença de uma classe Java maliciosa no classpath do usuário. Após a instanciação, a instância é provavelmente descartada.

Recomendações Atualize para a versão 1.5.25 ou posterior do logback-core.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

CLEANSTART-2026-CF62516

CLEANSTART-2026-CI66802

CLEANSTART-2026-DD05788

CLEANSTART-2026-DO09088

CLEANSTART-2026-EP51501

CLEANSTART-2026-EZ90321

CLEANSTART-2026-GH89210

CLEANSTART-2026-HQ78610

CLEANSTART-2026-IS05941

CLEANSTART-2026-JK47870

CLEANSTART-2026-KM27583

CLEANSTART-2026-KU61465

CLEANSTART-2026-LE11246

CLEANSTART-2026-LO22603

CLEANSTART-2026-RD06185

CLEANSTART-2026-RM01950

CLEANSTART-2026-RN56220

CLEANSTART-2026-SP91806

CLEANSTART-2026-TX96881

CLEANSTART-2026-VH41554

CVE-2026-1225

GHSA-QQPG-MVQG-649V

OPENSUSE-SU-2026:10114-1

SUSE-SU-2026:0361-1

Produtos afetados

Logback-Core

PT-2026-3646 · Qos.Ch · Logback-Core

CVE-2026-1225

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 439