Katalog CVE

CVE-2026-58138

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.94%

Percentyl 56 — wyżej niż 56% wszystkich znanych CVE

Streszczenie

Orkes Conductor w wersjach od 3.21.21 do 3.30.2 zawiera nieuwierzytelnioną podatność na zdalne wykonanie kodu. Atakujący może wysłać złośliwą definicję przepływu pracy z wyrażeniami JavaScript lub Python do interfejsu API przed uwierzytelnieniem, co pozwala na wykonanie dowolnych poleceń systemowych.

Ocena ryzyka

Ryzyko jest krytyczne, ponieważ atakujący bez uwierzytelnienia może przejąć kontrolę nad serwerem, wykonać dowolne polecenia, zainstalować złośliwe oprogramowanie lub wykraść dane.

Rekomendacja

Niezwłocznie zaktualizuj Orkes Conductor do wersji 3.30.2 lub nowszej. Ogranicz dostęp do interfejsu API przepływów pracy oraz skonfiguruj GraalVM z bezpiecznymi ustawieniami (bez HostAccess.ALL i allowAllAccess(true)).

Oryginalny opis (angielski, źródło NVD)

Orkes Conductor 3.21.21 before 3.30.2 contains an unauthenticated remote code execution vulnerability that allows remote attackers to execute arbitrary OS commands by submitting inline workflow definitions containing malicious JavaScript or Python expressions to the workflow API endpoint prior to authentication. Attackers can exploit unsandboxed GraalVM evaluators configured with HostAccess.ALL or allowAllAccess(true) through INLINE, LAMBDA, DO_WHILE, and SWITCH task types to invoke arbitrary system commands via Java reflection or direct subprocess calls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS