CVE-2026-41412

Nome do Software Vulnerável e Versões Afetadas alf.io versões anteriores a 2.0-M5-2606

Descrição O sandbox de extensões injeta um cliente HTTP totalmente funcional (simpleHttpClient) no escopo de cada script de extensão. O método postFileAndSaveResponse() aceita um caminho de sistema de arquivos arbitrário através do parâmetro file e lê o conteúdo do arquivo usando new FileInputStream(file) sem validação de caminho, restrição de diretório ou lista de permissões. Isso permite que um script de extensão malicioso leia qualquer arquivo acessível ao usuário do processo JVM e exfiltre os dados para um servidor externo via HTTP POST.

Recomendações Atualize para a versão 2.0-M5-2606.