CVE-2025-11226:Logback-core条件配置文件漏洞导致任意代码执行
漏洞概述
QOS.CH logback-core 1.5.18及以下版本存在一个任意代码执行(ACE)漏洞,该漏洞存在于Java应用程序的条件配置文件处理过程中。
受影响版本
- 受影响版本:< 1.5.19
- 已修复版本:1.5.19
漏洞详情
该漏洞允许攻击者通过以下两种方式实现任意代码执行:
- 篡改现有logback配置文件
- 在程序执行前注入恶意环境变量
攻击前提条件
- Janino库和Spring Framework必须存在于用户的类路径中
- 攻击者必须具有配置文件的写入权限
- 或者攻击者能够注入指向恶意配置文件的环境变量
- 两种攻击方式都需要现有权限
技术背景
logback-core是Java日志框架Logback的核心组件,广泛用于企业级Java应用程序。条件配置文件功能允许根据特定条件动态调整日志配置,但在此过程中未能充分验证输入,导致代码执行漏洞。
修复建议
立即升级到logback-core 1.5.19或更高版本,该版本已修复此漏洞。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-11226
- https://logback.qos.ch/news.html#1.5.19
- https://github.com/qos-ch/logback/releases/tag/v_1.5.19
安全评分
- CVSS总体评分:5.9(中危)
- EPSS利用概率:0.037%(第10百分位)
弱点分类
- CWE-20:不当输入验证
- 产品接收输入或数据,但未验证或错误验证输入具有安全正确处理数据所需的属性。