CVE-2026-35482 in alf.ioinformación

Resumen

por VulDB • 2026-06-03

alf.io es un sistema de reserva de entradas de código abierto para conferencias, ferias comerciales, talleres y encuentros. Antes de la versión 2.0-M5-2606, una vulnerabilidad de escape de sandbox en el motor de scripts de extensiones de alf.io permitía a un administrador autenticado ejecutar comandos arbitrarios del sistema operativo en el servidor. El sistema de extensiones está diseñado para ejecutar JavaScript restringido en un entorno Rhino aislado (sandboxed); sin embargo, una combinación de un objeto Java inyectado sin protección (`returnClass`) y una lista negra de AST incompleta permite escapar completamente de la sandbox utilizando reflexión de Java sin desencadenar ningún error de validación. La versión 2.0-M5-2606 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-02

Divulgación

2026-06-03

Moderación

aceptado

Artículo

VDB-368029

CPE

listo

EPSS

0.00036

KEV

no

Actividades

bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35482
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35482
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35482/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!