CVE-2026-35482

Nome do Software Vulnerável e Versões Afetadas alf.io versões anteriores a 2.0-M5-2606

Description Um administrador autenticado pode executar comandos arbitrários do sistema operacional no servidor devido a uma fuga de sandbox no mecanismo de scripts de extensão. O sistema foi projetado para executar JavaScript restrito em um ambiente Rhino isolado. No entanto, o uso de um objeto Java injetado não protegido returnClass, combinado com uma lista de bloqueio AST (Abstract Syntax Tree) incompleta, permite que a sandbox seja totalmente evitada usando reflexão Java sem disparar erros de validação.

Recommendations Atualizar para a versão 2.0-M5-2606.