PT-2026-53941 · Orkes · Orkes Conductor

Seqradev

·

Publicado

2026-06-30

·

Atualizado

2026-06-30

·

CVE-2026-58138

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Orkes Conductor versões 3.21.21 até 3.30.1
Description Um problema de execução remota de código não autenticada existe, permitindo que atacantes remotos executem comandos arbitrários do sistema operacional. Isso ocorre quando expressões maliciosas de JavaScript ou Python são enviadas para o endpoint da API de workflow antes da autenticação. Atacantes podem utilizar avaliadores GraalVM não isolados (unsandboxed)—configurados com HostAccess.ALL ou allowAllAccess(true)—através dos tipos de tarefa INLINE, LAMBDA, DO WHILE e SWITCH para invocar comandos do sistema via reflexão Java ou chamadas diretas de subprocessos.
Recommendations Atualize o Orkes Conductor para a versão 3.30.2 ou posterior.

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58138

Produtos afetados

Orkes Conductor