プラットフォーム
java
コンポーネント
alfresco-transform-core
修正版
4.2.3
5.2.4
CVE-2026-26339は、Hyland Alfresco Transformation Serviceにおけるリモートコード実行(RCE)脆弱性です。この脆弱性により、認証されていない攻撃者はドキュメント処理機能の引数注入を通じて、システム上で任意のコードを実行できる可能性があります。影響を受けるバージョンはAlfresco Transformation Service 0から5.2.4です。バージョン5.2.4へのアップデートで修正されています。
このRCE脆弱性は、攻撃者がAlfresco Transformation Serviceを実行しているサーバー上で完全な制御権を獲得することを可能にします。攻撃者は、機密情報の窃取、システムの改ざん、さらにはネットワーク内への横展開といった悪意のある活動を実行する可能性があります。特に、ドキュメント処理ワークフローが頻繁に利用される環境では、この脆弱性の影響は甚大です。類似の脆弱性は、複雑なドキュメント処理パイプラインを持つ他のシステムにも存在する可能性があります。
この脆弱性は、2026年2月19日に公開されました。現時点では、公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を窃取したり、システムを完全に制御したりする可能性があります。
Organizations utilizing Alfresco Transformation Service in production environments, particularly those with exposed document processing endpoints, are at significant risk. Environments with weak access controls or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same Alfresco instance are also at increased risk.
• java / server:
ps -ef | grep TransformationService• java / server:
journalctl -u TransformationService | grep -i "argument injection"• generic web:
curl -I <alfresco_transformation_service_url>/processDocument• generic web:
grep -i "argument injection" /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.24% (46% パーセンタイル)
CISA SSVC
CVSS ベクトル
最も効果的な対策は、Alfresco Transformation Serviceをバージョン5.2.4にアップデートすることです。アップデートがすぐに適用できない場合は、入力検証を強化し、信頼できないソースからのドキュメント処理を制限するなどの緩和策を検討してください。Webアプリケーションファイアウォール(WAF)を使用して、悪意のある引数注入攻撃をブロックすることも有効です。また、関連するログを監視し、異常なアクティビティを検出するためのアラートを設定することも重要です。
Alfresco Transformation Service を、該当する製品バージョンに応じてバージョン 4.2.3 以降、またはバージョン 5.2.4 以降にアップデートしてください。これにより、リモートコード実行を可能にする引数注入の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-26339は、Alfresco Transformation Service (0–5.2.4)における引数注入脆弱性で、認証されていない攻撃者がリモートコードを実行できるものです。
Alfresco Transformation Serviceのバージョンが0から5.2.4の場合、この脆弱性の影響を受けます。攻撃者はシステム上で任意のコードを実行し、機密情報を窃取したり、システムを改ざんしたりする可能性があります。
Alfresco Transformation Serviceをバージョン5.2.4にアップデートすることで修正できます。アップデートがすぐに適用できない場合は、入力検証の強化などの緩和策を検討してください。
現時点では、公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。
Alfrescoの公式アドバイザリは、Alfrescoのセキュリティ情報ページで確認できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。