CVE-2026-9828

Nome do Software Vulnerável e Versões Afetadas logback versões anteriores a 1.5.33

Descrição A desserialização de dados não confiáveis no módulo HardenedObjectInputStream do logback-core permite a Injeção de Objetos de forma restrita. Um invasor capaz de influenciar dados serializados enviados para os endpoints 'SimpleSocketServer' ou 'SimpleSSLSocketServer' pode instanciar objetos dos pacotes java.lang e java.util que não estejam explicitamente bloqueados. Este problema representa uma violação das restrições de segurança pretendidas, embora nenhum método prático para execução remota de código ou escalonamento significativo de privilégios tenha sido identificado.

Recomendações Atualize para uma versão posterior a 1.5.32.