CVE-2026-39911

Name of the Vulnerable Software and Affected Versions Hashgraph Guardian versões até 3.5.0

Description Hashgraph Guardian até a versão 3.5.0 possui uma questão de execução de JavaScript não isolada no worker do bloco de política Custom Logic. Usuários autenticados do Standard Registry podem executar código arbitrário fornecendo expressões JavaScript diretamente ao construtor Node.js Function() sem isolamento. Isso permite que invasores importem módulos nativos do Node.js para ler arquivos arbitrários do sistema de arquivos do contêiner, acessem variáveis de ambiente do processo contendo credenciais confidenciais, como chaves privadas RSA, chaves de assinatura JWT e tokens de API, e forjem tokens de autenticação válidos para qualquer usuário, incluindo administradores.

Recommendations Atualize para uma versão posterior a 3.5.0.