Plataforma
java
Componente
alfresco-transform-core
Corregido en
4.3.0
5.3.0
La vulnerabilidad CVE-2026-26338 es una falla de Server-Side Request Forgery (SSRF) descubierta en el servicio Alfresco Transformation Service. Esta falla permite a atacantes no autenticados realizar solicitudes arbitrarias al servidor, potencialmente exponiendo información sensible o permitiendo el acceso a recursos internos. Las versiones afectadas son desde la 0 hasta la 5.3.0; se recomienda actualizar a la versión 5.3.0 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad SSRF podría realizar solicitudes a cualquier recurso accesible desde el servidor Alfresco Transformation Service. Esto incluye, pero no se limita a, acceder a servicios internos que normalmente no están expuestos a Internet, leer archivos confidenciales, o incluso interactuar con otros sistemas dentro de la red. El impacto potencial es significativo, ya que un atacante podría obtener acceso a datos críticos, comprometer la integridad del sistema, o utilizar el servidor como punto de partida para ataques posteriores. La naturaleza no autenticada de la vulnerabilidad agrava aún más el riesgo, ya que no se requiere autenticación para explotarla.
La vulnerabilidad CVE-2026-26338 fue publicada el 19 de febrero de 2026. No se han reportado activamente campañas de explotación a la fecha. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations utilizing Alfresco Transformation Service for document processing, particularly those with internal systems accessible from the internet or those using shared hosting environments, are at significant risk. Legacy configurations that allow unrestricted outbound network access are especially vulnerable.
• java / server: Monitor Alfresco Transformation Service logs for unusual outbound requests, particularly those targeting internal IP addresses or sensitive services. Use Java profiling tools to identify suspicious network activity originating from the Transformation Service process.
# Example: Grepping for requests to internal IPs
grep '192\.168\.' /var/log/alfresco/transformation-service.log• generic web: Use a WAF to monitor and block outbound requests from the Alfresco Transformation Service to unexpected or sensitive destinations. Examine access logs for patterns indicative of SSRF attempts. • database (mysql, redis, mongodb, postgresql): While not directly applicable, monitor database connections originating from the Transformation Service for unusual activity.
disclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar CVE-2026-26338 es actualizar Alfresco Transformation Service a la versión 5.3.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la configuración de un firewall para restringir el acceso a recursos internos desde el servicio Transformation, o la implementación de reglas en un proxy inverso para bloquear solicitudes sospechosas. Además, se recomienda revisar y endurecer la configuración del servicio Transformation para minimizar la superficie de ataque. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes forjadas al servidor son bloqueadas.
Actualice Alfresco Transformation Service a la versión 4.3.0 o superior, o a la versión 5.3.0 o superior, según corresponda. Esto corrige la vulnerabilidad SSRF permitiendo que el servicio valide correctamente las solicitudes antes de procesarlas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26338 is a critical SSRF vulnerability in Alfresco Transformation Service allowing unauthenticated attackers to make server-side requests, potentially accessing internal resources. It affects versions 0.0.0 through 5.3.0.
If you are running Alfresco Transformation Service versions 0.0.0 through 5.3.0, you are potentially affected by this vulnerability. Upgrade to version 5.3.0 or later to mitigate the risk.
The recommended fix is to upgrade Alfresco Transformation Service to version 5.3.0 or later. As a temporary workaround, restrict outbound network access using a WAF or proxy server.
As of the current date, there is no public evidence of active exploitation of CVE-2026-26338 in the wild.
Please refer to the official Hyland/Alfresco security advisory for detailed information and updates regarding CVE-2026-26338.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.