Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-58138
CVSS 9.8 — CRITICO

CVE-2026-58138: Vulnerabilità RCE in Orkes Conductor

Pubblicato il 2026-06-30 · Fonte: NVD NIST

CVE ID
CVE-2026-58138
CVSS Score
9.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-58138 è una vulnerabilità di esecuzione di codice remoto (RCE) non autenticata che colpisce le versioni di Orkes Conductor precedenti alla 3.30.2. Questa vulnerabilità consente agli attaccanti di eseguire comandi arbitrari del sistema operativo inviando definizioni di flusso di lavoro inline contenenti espressioni JavaScript o Python maliziose all'endpoint API del flusso di lavoro prima dell'autenticazione. La vulnerabilità sfrutta gli evaluator GraalVM non sandboxed configurati con HostAccess.ALL o allowAllAccess(true) attraverso tipi di attività INLINE, LAMBDA, DO_WHILE e SWITCH.

Impatto

Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari del sistema operativo, potenzialmente portando a un controllo completo del sistema. I sistemi a rischio sono quelli che eseguono versioni di Orkes Conductor precedenti alla 3.30.2 e che hanno gli evaluator GraalVM configurati in modo non sicuro. Gli attaccanti possono invocare comandi del sistema tramite reflection Java o chiamate dirette di subprocess.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare Orkes Conductor alla versione 3.30.2 o successiva. Inoltre, è importante configurare gli evaluator GraalVM in modo sicuro, evitando l'uso di HostAccess.ALL o allowAllAccess(true) e assicurandosi che le definizioni di flusso di lavoro siano validate e sanitize prima dell'esecuzione. Se non è possibile aggiornare immediatamente, si possono implementare workaround come il filtro delle richieste API o la limitazione dell'accesso all'endpoint del flusso di lavoro.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-58138?

La vulnerabilità CVE-2026-58138 è una vulnerabilità di esecuzione di codice remoto non autenticata che colpisce le versioni di Orkes Conductor precedenti alla 3.30.2.

Qual è l'impatto della vulnerabilità?

La vulnerabilità consente agli attaccanti di eseguire comandi arbitrari del sistema operativo, potenzialmente portando a un controllo completo del sistema.

Come proteggersi da CVE-2026-58138?

Per proteggersi, si consiglia di aggiornare Orkes Conductor alla versione 3.30.2 o successiva e di configurare gli evaluator GraalVM in modo sicuro.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.