CVE-2025-11226:QOS.CH logback-core任意代码执行漏洞分析
漏洞概述
QOS.CH logback-core版本1.4.0至1.5.18以及1.3.16之前版本存在一个任意代码执行(ACE)漏洞,该漏洞存在于Java应用程序的条件配置文件处理过程中。
受影响版本
- 受影响版本:>= 1.4.0, < 1.5.19 或 < 1.3.16
- 已修复版本:1.5.19、1.3.16
漏洞详情
攻击原理
攻击者可以通过以下两种方式利用此漏洞:
- 篡改现有logback配置文件:攻击者需要具有配置文件的写访问权限
- 注入恶意环境变量:在程序执行前注入指向恶意配置文件的环境变量
攻击前提条件
成功的攻击需要满足以下条件:
- Janino库和Spring Framework必须存在于用户的类路径中
- 攻击者必须具有配置文件的写访问权限,或者能够注入恶意环境变量
- 两种攻击方式都需要现有的特权
技术影响
CVSS评分
- 总体评分:5.9(中等严重性)
- CVSS v4向量:AV:L/AC:L/AT:P/PR:H/UI:P/VC:H/VI:L/VA:L/SC:H/SI:L/SA:L
影响范围
- 机密性:高影响
- 完整性:低影响
- 可用性:低影响
解决方案
修复建议
用户应立即升级到以下安全版本:
- logback-core 1.5.19
- logback-core 1.3.16
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-11226
- https://logback.qos.ch/news.html#1.5.19
- https://github.com/qos-ch/logback/releases/tag/v_1.5.19
安全弱点
- CWE-20:不当的输入验证
- 产品接收输入或数据,但未验证或错误验证输入具有安全正确处理数据所需的属性