CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35482

HighCVSS 8.0
Published: Updated: Translated: NVD NIST

Summary

alf.io to otwartoźródłowy system rezerwacji biletów na konferencje, targi, warsztaty i spotkania. Przed wersją 2.0-M5-2606 istniała podatność na ucieczkę z piaskownicy w silniku skryptów alf.io, która pozwalała uwierzytelnionemu administratorowi na wykonywanie dowolnych poleceń systemu operacyjnego na serwerze.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, ponieważ umożliwia nieautoryzowane wykonanie poleceń, co może prowadzić do kompromitacji systemu i danych.

Recommendation

Zaleca się aktualizację do wersji 2.0-M5-2606 lub nowszej, aby załatać tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

alf.io is an open source ticket reservation system for conferences, trade shows, workshops, and meetups. Prior to version 2.0-M5-2606, a sandbox escape vulnerability in the alf.io extension script engine allows an authenticated administrator to execute arbitrary operating system commands on the server. The extension system is intended to execute restricted JavaScript in a sandboxed Rhino environment; however, a combination of an unguarded injected Java object (`returnClass`) and an incomplete AST blocklist allows the sandbox to be fully escaped using Java reflection without triggering any validation errors. Version 2.0-M5-2606 patches the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS