PT-2026-45408 · Unknown · Logback-Core
York Shen
·
Publicado
2026-06-01
·
Atualizado
2026-06-11
·
CVE-2026-10532
CVSS v4.0
2.9
Baixa
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:M/U:Green |
Nome do Software Vulnerável e Versões Afetadas
logback-core versões anteriores a 1.5.34
Description
A desserialização de dados não confiáveis no módulo
HardenedObjectInputStream permite a Injeção de Objetos, embora o impacto seja fortemente restringido. Um invasor capaz de influenciar dados serializados enviados para os endpoints 'SimpleSocketServer' ou 'SimpleSSLSocketServer' pode instanciar objetos Proxy. Este problema representa uma violação das restrições de segurança pretendidas, embora nenhum método prático para execução remota de código ou escalonamento significativo de privilégios tenha sido identificado.Recommendations
Atualize para uma versão posterior a 1.5.33.
Correção
LPE
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Logback-Core