मुफ्त स्कैन करें
CRITICALCVE-2026-26339CVSS 9.8

Hyland Alfresco Transformation Service Argument Injection RCE

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

java

घटक

alfresco-transform-core

में ठीक किया गया

4.2.3

5.2.4

AI Confidence: highNVDEPSS 0.2%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-26339 describes a critical Remote Code Execution (RCE) vulnerability within the Hyland Alfresco Transformation Service. This flaw allows unauthenticated attackers to inject arguments and execute arbitrary code through the document processing functionality. The vulnerability impacts versions 0.0 through 5.2.4 of the service. A fix is available in version 5.2.4.

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The impact of CVE-2026-26339 is severe. Successful exploitation allows an attacker to gain complete control over the affected Alfresco Transformation Service instance. This could lead to data breaches, system compromise, and potential lateral movement within the network. An unauthenticated attacker can trigger this vulnerability, meaning no prior authentication is required, significantly broadening the attack surface. The ability to execute arbitrary code opens the door to a wide range of malicious activities, including installing malware, modifying system configurations, and stealing sensitive data. This vulnerability shares similarities with other argument injection flaws where improper input validation allows attackers to manipulate program behavior.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2026-26339 was publicly disclosed on 2026-02-19. The CVSS score of 9.8 (CRITICAL) indicates a high probability of exploitation. As of the disclosure date, no public proof-of-concept (POC) code has been released, but the ease of exploitation suggested by the description raises concerns about potential rapid exploitation. It is not currently listed on the CISA KEV catalog.

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing Alfresco Transformation Service in production environments, particularly those with exposed document processing endpoints, are at significant risk. Environments with weak access controls or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same Alfresco instance are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• java / server:

ps -ef | grep TransformationService

• java / server:

journalctl -u TransformationService | grep -i "argument injection"

• generic web:

curl -I <alfresco_transformation_service_url>/processDocument

• generic web:

 grep -i "argument injection" /var/log/apache2/access.log

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.24% (46% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकalfresco-transform-core
विक्रेताHyland
प्रभावित श्रेणीमें ठीक किया गया
0 – 4.2.24.2.3
0 – 5.2.35.2.4

कमजोरी वर्गीकरण (CWE)

CWE-918

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-26339 is to upgrade to version 5.2.4 of the Alfresco Transformation Service. If an immediate upgrade is not feasible, consider implementing temporary workarounds. Restrict access to the document processing functionality to trusted users and networks. Implement strict input validation on all user-supplied data to prevent argument injection. Monitor system logs for suspicious activity related to document processing. While a WAF or proxy may offer some protection, it is unlikely to be sufficient on its own given the nature of the vulnerability. After upgrading, confirm the fix by attempting to trigger the document processing functionality with malicious input and verifying that the system behaves as expected.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Alfresco Transformation Service a la versión 4.2.3 o superior, o a la versión 5.2.4 o superior, según corresponda a su rama de producto. Esto corrige la vulnerabilidad de inyección de argumentos que permite la ejecución remota de código.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-26339 — RCE in Alfresco Transformation Service?

CVE-2026-26339 is a critical Remote Code Execution vulnerability in Alfresco Transformation Service allowing unauthenticated attackers to execute code through argument injection in document processing.

Am I affected by CVE-2026-26339 in Alfresco Transformation Service?

If you are running Alfresco Transformation Service versions 0.0 through 5.2.4, you are potentially affected by this vulnerability.

How do I fix CVE-2026-26339 in Alfresco Transformation Service?

Upgrade to version 5.2.4 of Alfresco Transformation Service to remediate the vulnerability. Implement temporary workarounds if immediate upgrade is not possible.

Is CVE-2026-26339 being actively exploited?

While no public exploits are currently known, the high CVSS score and ease of exploitation suggest a potential for active exploitation.

Where can I find the official Alfresco advisory for CVE-2026-26339?

Refer to the official Hyland Alfresco security advisory for detailed information and updates regarding CVE-2026-26339.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें