CVE-2026-13006
WysokieCVSS 7.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność ACE w logback-core do wersji 1.5.36 umożliwia zdalne wykonanie kodu poprzez ominięcie zabezpieczeń CVE-2025-11226. Atak wymaga obecności biblioteki Janino na ścieżce klas oraz dostępu do pliku konfiguracyjnego lub wstrzyknięcia zmiennej środowiskowej.
Ocena ryzyka
Organizacja narażona na przejęcie kontroli nad aplikacją Java, jeśli atakujący ma uprawnienia do modyfikacji plików konfiguracyjnych lub zmiennych środowiskowych. Ryzyko wzrasta w środowiskach z współdzielonym dostępem.
Rekomendacja
Zaleca się natychmiastową aktualizację logback-core do wersji 1.5.37 lub nowszej, która usuwa przetwarzanie warunkowe z Janino. Ogranicz dostęp do plików konfiguracyjnych i zmiennych środowiskowych.
Oryginalny opis (angielski, źródło NVD)
ACE vulnerability in conditional configuration file processing by QOS.CH logback-core up to and including version 1.5.36 in Java applications, allows an attacker to execute arbitrary code circumventing existing protections against CVE-2025-11226 by compromising an existing logback configuration file or by injecting an environment variable before program execution. A successful attack requires the presence of Janino library to be present on the user's class path. In addition, the attacker must have write access to a configuration file. Alternatively, the attacker could inject a malicious environment variable pointing to a malicious configuration file. In both cases, the attack requires existing privilege. Please note that in logack version 1.5.37 conditional processing using Janino was removed.

