Plataforma
java
Componente
alfresco-transform-core
Corregido en
4.2.3
5.2.4
La vulnerabilidad CVE-2026-26339 es una falla de ejecución remota de código (RCE) que afecta al servicio Alfresco Transformation Service. Esta falla permite a atacantes no autenticados inyectar argumentos en el proceso de manejo de documentos, lo que les permite ejecutar código arbitrario en el sistema. Las versiones afectadas son desde la 0 hasta la 5.2.4. Se ha publicado una corrección en la versión 5.2.4.
Un atacante puede explotar esta vulnerabilidad para obtener control total sobre el servidor que ejecuta Alfresco Transformation Service. Esto implica la capacidad de ejecutar comandos arbitrarios, acceder a datos confidenciales almacenados en el servidor, instalar malware, o incluso utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier atacante externo puede intentar explotarla. La inyección de argumentos en el procesamiento de documentos es un vector de ataque común, y esta vulnerabilidad presenta un riesgo particularmente alto debido a su potencial de ejecución remota de código.
La vulnerabilidad fue publicada el 19 de febrero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un alto riesgo. Es recomendable monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. Se recomienda revisar las configuraciones de seguridad de Alfresco Transformation Service para identificar posibles puntos débiles.
Organizations utilizing Alfresco Transformation Service in production environments, particularly those with exposed document processing endpoints, are at significant risk. Environments with weak access controls or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same Alfresco instance are also at increased risk.
• java / server:
ps -ef | grep TransformationService• java / server:
journalctl -u TransformationService | grep -i "argument injection"• generic web:
curl -I <alfresco_transformation_service_url>/processDocument• generic web:
grep -i "argument injection" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.24% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26339 es actualizar Alfresco Transformation Service a la versión 5.2.4 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la red al servicio Transformation Service y monitorear los registros del sistema en busca de actividad sospechosa. Como medida temporal, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de argumentos conocidos. Verifique que el servicio Transformation Service solo procese documentos de fuentes confiables.
Actualice Alfresco Transformation Service a la versión 4.2.3 o superior, o a la versión 5.2.4 o superior, según corresponda a su rama de producto. Esto corrige la vulnerabilidad de inyección de argumentos que permite la ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26339 is a critical Remote Code Execution vulnerability in Alfresco Transformation Service allowing unauthenticated attackers to execute code through argument injection in document processing.
If you are running Alfresco Transformation Service versions 0.0 through 5.2.4, you are potentially affected by this vulnerability.
Upgrade to version 5.2.4 of Alfresco Transformation Service to remediate the vulnerability. Implement temporary workarounds if immediate upgrade is not possible.
While no public exploits are currently known, the high CVSS score and ease of exploitation suggest a potential for active exploitation.
Refer to the official Hyland Alfresco security advisory for detailed information and updates regarding CVE-2026-26339.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.