Katalog CVE

CVE-2026-35482

WysokieCVSS 8.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

alf.io to otwartoźródłowy system rezerwacji biletów na konferencje, targi, warsztaty i spotkania. Przed wersją 2.0-M5-2606 istniała podatność na ucieczkę z piaskownicy w silniku skryptów alf.io, która pozwalała uwierzytelnionemu administratorowi na wykonywanie dowolnych poleceń systemu operacyjnego na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, ponieważ umożliwia nieautoryzowane wykonanie poleceń, co może prowadzić do kompromitacji systemu i danych.

Rekomendacja

Zaleca się aktualizację do wersji 2.0-M5-2606 lub nowszej, aby załatać tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

alf.io is an open source ticket reservation system for conferences, trade shows, workshops, and meetups. Prior to version 2.0-M5-2606, a sandbox escape vulnerability in the alf.io extension script engine allows an authenticated administrator to execute arbitrary operating system commands on the server. The extension system is intended to execute restricted JavaScript in a sandboxed Rhino environment; however, a combination of an unguarded injected Java object (`returnClass`) and an incomplete AST blocklist allows the sandbox to be fully escaped using Java reflection without triggering any validation errors. Version 2.0-M5-2606 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS