Devnoscope

**Nome do Software Vulnerável e Versões Afetadas** alf.io versões anteriores a 2.0-M5-2606 **Description** Um administrador autenticado pode executar comandos arbitrários do sistema operacional no servidor devido a uma fuga de sandbox no mecanismo de scripts de extensão. O sistema foi projetado para executar JavaScript restrito em um ambiente Rhino isolado. No entanto, o uso de um objeto Java injetado não protegido `returnClass`, combinado com uma lista de bloqueio AST (Abstract Syntax Tree) incompleta, permite que a sandbox seja totalmente evitada usando reflexão Java sem disparar erros de validação. **Recommendations** Atualizar para a versão 2.0-M5-2606.