製品・ソフトウェアに関する情報

JVN脆弱性詳細

Tomas VaraneckasのJAD Java Decompilerにおける境界外書き込みに関する脆弱性

Title	Tomas VaraneckasのJAD Java Decompilerにおける境界外書き込みに関する脆弱性
Summary	JAD 1.5.8e-1kali1およびそれ以前のバージョンには、バッファの境界を超える過大な入力を与えることで任意のコードを実行できるスタックベースのバッファオーバーフロー脆弱性があります。攻撃者は8150バイトを超える悪意のある入力文字列を作成してスタックをオーバーフローさせ、リターンアドレスを書き換えることで、アプリケーションのコンテキスト内でシェルコードを実行できます。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 28, 2026, midnight
Registration Date	April 24, 2026, 11:35 a.m.
Last Update	April 24, 2026, 11:35 a.m.

Affected System

Tomas Varaneckas

JAD Java Decompiler 1.5.8e-1kali1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-20049	https://www.cve.org/CVERecord?id=CVE-2016-20049
National Vulnerability Database (NVD)
2	CVE-2016-20049	https://nvd.nist.gov/vuln/detail/CVE-2016-20049

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

ベンダー情報

No	Name	URL
VulnCheck
1	JAD 1.5.8e-1kali1 Stack-Based Buffer Overflow Remote Code Execution \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/jad-8e-1kali1-stack-based-buffer-overflow-remote-code-execution

その他

No	Name	URL
関連文書
1	JAD Java Decompiler 1.5.8e - Local Buffer Overflow - Linux local Exploit	https://www.exploit-db.com/exploits/42076
2	JAD Java Decompiler Download Mirror	http://www.varaneckas.com/jad/

Change Log

No	Changed Details	Date of change
1	[2026年04月24日] 掲載	April 24, 2026, 11:35 a.m.

NVD Vulnerability Information

CVE-2016-20049

Summary	JAD 1.5.8e-1kali1 and prior contains a stack-based buffer overflow vulnerability that allows attackers to execute arbitrary code by supplying oversized input that exceeds buffer boundaries. Attackers can craft malicious input strings exceeding 8150 bytes to overflow the stack, overwrite return addresses, and execute shellcode in the application context.
Summary	JAD 1.5.8e-1kali1 y versiones anteriores contiene una vulnerabilidad de desbordamiento de búfer basado en pila que permite a los atacantes ejecutar código arbitrario al proporcionar una entrada sobredimensionada que excede los límites del búfer. Los atacantes pueden crear cadenas de entrada maliciosas que excedan los 8150 bytes para desbordar la pila, sobrescribir direcciones de retorno y ejecutar shellcode en el contexto de la aplicación.
Publication Date	March 28, 2026, 9:16 p.m.
Registration Date	April 27, 2026, 12:20 p.m.
Last Update	April 22, 2026, 10:58 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:varaneckas:jad_java_decompiler:1.5.8e-1kali1:::::::*

Related information, measures and tools

No	URL	refsource
1	http://www.varaneckas.com/jad/	disclosure@vulncheck.com
2	https://www.exploit-db.com/exploits/42076	disclosure@vulncheck.com
3	https://www.vulncheck.com/advisories/jad-8e-1kali1-stack-based-buffer-overflow-remote-code-execution	disclosure@vulncheck.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-787	境界外書き込み	https://cwe.mitre.org/data/definitions/787.html