Início
Início
Tendências
Tendências
Vulnerabilidades
Vulnerabilidades
Notícias
Notícias
Pesquisadores
Pesquisadores
Por que dbugs?
Por que dbugs?
Configurações

Seqradev

#24798de 54,841
9.8CVSS total
Vulnerabilidades · 1
PT-2026-53941
9.8
2026-06-30
Orkes · Orkes Conductor · CVE-2026-58138
**Nome do Software Vulnerável e Versões Afetadas** Orkes Conductor versões 3.21.21 até 3.30.1 **Description** Um problema de execução remota de código não autenticada permite que atacantes remotos executem comandos arbitrários do sistema operacional ao enviar definições de fluxo de trabalho inline contendo expressões maliciosas de JavaScript ou Python para o endpoint da API de fluxo de trabalho. Isso ocorre quando avaliadores GraalVM não isolados são configurados com `HostAccess.ALL` ou `allowAllAccess(true)` através dos tipos de tarefa INLINE, LAMBDA, DO WHILE e SWITCH, permitindo a invocação de comandos do sistema via reflexão Java ou chamadas diretas de subprocessos. **Recommendations** Atualizar para a versão 3.30.2 ou posterior.