PT-2026-53941 · Orkes · Orkes Conductor
Seqradev
·
Publicado
2026-06-30
·
Atualizado
2026-06-30
·
CVE-2026-58138
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Orkes Conductor versões 3.21.21 até 3.30.1
Description
Um problema de execução remota de código não autenticada existe, permitindo que atacantes remotos executem comandos arbitrários do sistema operacional. Isso ocorre quando expressões maliciosas de JavaScript ou Python são enviadas para o endpoint da API de workflow antes da autenticação. Atacantes podem utilizar avaliadores GraalVM não isolados (unsandboxed)—configurados com
HostAccess.ALL ou allowAllAccess(true)—através dos tipos de tarefa INLINE, LAMBDA, DO WHILE e SWITCH para invocar comandos do sistema via reflexão Java ou chamadas diretas de subprocessos.Recommendations
Atualize o Orkes Conductor para a versão 3.30.2 ou posterior.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Orkes Conductor