CRITICAL✓ PATCH🇬🇧 English

CVE-2026-26339

RCE przez argument injection w Hyland Alfresco Transform Service

CVSS 9.3v4.0pub. 2026-02-19upd. 2026-03-02

Hyland Alfresco Transform Service zawiera podatność typu argument injection w funkcjonalności przetwarzania dokumentów, która umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu (RCE). Podatność jest krytyczna ze względu na brak wymogu uwierzytelnienia i pełną kompromitację poufności, integralności oraz dostępności systemu.

Pokaż oryginał (EN)

Hyland Alfresco Transformation Service allows unauthenticated attackers to achieve remote code execution through the argument injection vulnerability, which exists in the document processing functionality.

🤖 Analiza AI
Jak działa

Podatność (CWE-918 / argument injection) występuje w module odpowiedzialnym za przetwarzanie dokumentów. Atakujący może przesłać spreparowane żądanie do usługi bez konieczności posiadania jakichkolwiek poświadczeń, wstrzykując złośliwe argumenty do wywołań procesów lub poleceń systemowych realizowanych podczas transformacji dokumentów. W efekcie możliwe jest wykonanie dowolnego kodu w kontekście procesu usługi.

Skutki

Nieuwierzytelniony atakujący może przejąć pełną kontrolę nad systemem, na którym uruchomiona jest usługa — uzyskując możliwość odczytu i modyfikacji danych oraz zakłócenia działania systemu. Kompromitacja dotyczy wyłącznie bezpośrednio podatnego komponentu (SC:N w wektorze CVSS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierających poprawki opublikowano w oficjalnym biuletynie bezpieczeństwa Hyland pod adresem wskazanym w referencjach (connect.hyland.com).

Kogo dotyczy

Hyland Alfresco Transform Service oraz Hyland Alfresco Transform Core — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Hyland Alfresco Transform Core

    APP
    Hyland
    < 5.2.4
  • Hyland Alfresco Transform Service

    APP
    Hyland
    < 4.2.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-26337HIGH8.8ten sam produkt

Hyland Alfresco Transformation Service allows unauthenticated attackers to achieve both arbitrary file read an...

CVE-2026-26338MEDIUM6.9ten sam produkt

Hyland Alfresco Transformation Service allows unauthenticated attackers to achieve server-side request forgery...

CVE-2020-25251CRITICAL9.1ten sam vendor

An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8....

CVE-2020-25253CRITICAL9.8ten sam vendor

An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8....

CVE-2020-25254CRITICAL9.8ten sam vendor

An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8....