Platform
java
Component
alfresco-transform-core
Opgelost in
4.2.3
5.2.4
CVE-2026-26339 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de Alfresco Transformation Service. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om code uit te voeren via argumentinjectie in de documentverwerking functionaliteit. De kwetsbaarheid treft versies van Alfresco Transformation Service van 0 tot en met 5.2.4. Een patch is beschikbaar in versie 5.2.4.
Deze RCE kwetsbaarheid is kritiek omdat ongeauthenticeerde aanvallers de mogelijkheid hebben om willekeurige code uit te voeren op de server waarop de Alfresco Transformation Service draait. Dit kan leiden tot volledige controle over het systeem, inclusief data-exfiltratie, wijziging van configuraties en installatie van malware. De impact is vergelijkbaar met andere RCE kwetsbaarheden waarbij een aanvaller de mogelijkheid heeft om de onderliggende infrastructuur te compromitteren. Een succesvolle exploitatie kan leiden tot een significante verstoring van de bedrijfsvoering en aanzienlijke financiële schade.
Deze kwetsbaarheid is met een CVSS score van 9.8 als kritiek beoordeeld. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de ernst van de kwetsbaarheid suggereert een potentieel voor actieve exploitatie. De kwetsbaarheid is openbaar gemaakt op 2026-02-19. Het is raadzaam om de situatie te monitoren en proactieve maatregelen te nemen om de risico's te minimaliseren.
Organizations utilizing Alfresco Transformation Service in production environments, particularly those with exposed document processing endpoints, are at significant risk. Environments with weak access controls or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same Alfresco instance are also at increased risk.
• java / server:
ps -ef | grep TransformationService• java / server:
journalctl -u TransformationService | grep -i "argument injection"• generic web:
curl -I <alfresco_transformation_service_url>/processDocument• generic web:
grep -i "argument injection" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.24% (46% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Alfresco Transformation Service versie 5.2.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de kwetsbare endpoint te blokkeren. Configureer de WAF om argumentinjectie pogingen te detecteren en te blokkeren. Controleer de documentverwerking configuratie om te zorgen dat er geen onbevoegde toegang is tot de functionaliteit. Na de upgrade, verifieer de fix door te proberen een document te verwerken met een kwaadaardige payload om te controleren of de code-uitvoering is voorkomen.
Werk Alfresco Transformation Service bij naar versie 4.2.3 of hoger, of naar versie 5.2.4 of hoger, afhankelijk van uw productbranch. Dit corrigeert de argument injectie kwetsbaarheid die remote code execution mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-26339 is a critical Remote Code Execution vulnerability in Alfresco Transformation Service allowing unauthenticated attackers to execute code through argument injection in document processing.
If you are running Alfresco Transformation Service versions 0.0 through 5.2.4, you are potentially affected by this vulnerability.
Upgrade to version 5.2.4 of Alfresco Transformation Service to remediate the vulnerability. Implement temporary workarounds if immediate upgrade is not possible.
While no public exploits are currently known, the high CVSS score and ease of exploitation suggest a potential for active exploitation.
Refer to the official Hyland Alfresco security advisory for detailed information and updates regarding CVE-2026-26339.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.