CVE-2026-58138
Kritisk

CVE-2026-58138: Kritisk RCE i Orkes Conductor

Kritisk sårbarhed i Orkes Conductor 3.21.21–3.30.1 lader angribere køre vilkårlige kommandoer uden login.

CVSS Score
9.8
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

Orkes Conductor er et system til at styre og automatisere arbejdsprocesser (såkaldte workflows) i it-miljøer. En sårbarhed i versioner fra 3.21.21 op til — men ikke inklusive — 3.30.2 gør det muligt for en angriber at sende ondsindet kode direkte til systemets API (et programmeringsgrænse­flade) uden at logge ind først. Koden eksekveres (køres) af en JavaScript/Python-motor, der ikke er afskærmet ordentligt, og angriberen kan dermed udføre hvad som helst på den underliggende server. Sårbarheden er klassificeret som CWE-94, som handler om ukontrolleret kodeinjektion.

Hvem rammer det?

Alle virksomheder og organisationer, der kører Orkes Conductor version 3.21.21 til og med 3.30.1 og har systemets API tilgængeligt fra internettet eller et internt netværk. Det gælder særligt it-afdelinger og udviklere, der bruger Conductor til at orkestrere automatiserede processer — f.eks. i cloud-miljøer, mikroservice-arkitekturer eller DevOps-pipelines. Hvis du ikke ved, om I bruger Orkes Conductor, bør du spørge din it-ansvarlige eller softwareleverandør med det samme.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan:

  • Overtage den server, som Conductor kører på, og få fuld kontrol over operativsystemet
  • Stjæle følsomme data, herunder hemmeligheder, API-nøgler og konfigurationsfiler
  • Installere ransomware (afpresningssoftware) eller bagdøre til fremtidig adgang
  • Sprede sig videre til andre systemer på jeres netværk
  • Slette eller manipulere data og logfiler for at skjule spor

Fordi angrebet ikke kræver nogen form for login, kan det udføres af hvem som helst med netværksadgang til systemet.

Hvor alvorligt er det?

CVSS-scoren er 9.8 ud af 10 — Kritisk. Det er den højeste risikoklasse. Scoren afspejler, at angrebet kan udføres over netværket uden nogen form for autentificering (login) eller brugerinteraktion, og at konsekvenserne for fortrolighed, integritet og tilgængelighed alle vurderes som høje. Med andre ord: angriberen behøver ingen adgangskoder, ingen hjælp fra brugere og ingen særlige forudsætninger for at overtage systemet fuldstændigt.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — helst inden for 24 timer:

  1. Find ud af, om I er ramt: Bed din it-ansvarlige eller leverandør tjekke, om I kører Orkes Conductor, og hvilken version det drejer sig om.
  2. Opdatér straks til version 3.30.2 eller nyere: Hent og installér den patchede version fra Orkes’ officielle kanaler. Opdateringen lukker sårbarheden.
  3. Begræns netværksadgang midlertidigt: Hvis I ikke kan opdatere med det samme, så blokér for ekstern adgang til Conductor-API’et via firewall (netværksfilter), til opdateringen er på plads.
  4. Gennemgå logfiler: Bed din it-ansvarlige se på systemets logfiler for usædvanlig aktivitet de seneste uger — særligt kald til workflow-API’et fra ukendte adresser.
  5. Skift hemmeligheder og API-nøgler: Hvis systemet har været eksponeret, bør alle adgangskoder og nøgler tilknyttet Conductor-miljøet udskiftes som forholdsregel.
  6. Kontakt Auroa, hvis I er i tvivl: Vi hjælper jer med at vurdere eksponering og sikre, at I er dækket ind.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Opdatér Orkes Conductor til version 3.30.2 eller nyere så hurtigt som muligt — dette er en kritisk sårbarhed, der kræver øjeblikkelig handling. Har I ikke kapacitet til at håndtere opdateringen selv, så spær for ekstern adgang til API’et som nødforanstaltning og kontakt jeres it-leverandør eller Auroa samme dag. Vent ikke på det næste planlagte vedligeholdelses­vindue — risikoen er for høj.

Tidslinje

30/06/2026
CVE-2026-58138 offentliggjort
National Vulnerability Database (NVD) offentliggør sårbarheden med en CVSS-score på 9.8 — Kritisk. Detaljer om den sårbare kodeeksekvering via GraalVM beskrives.
30/06/2026
Patch frigivet: Orkes Conductor 3.30.2
Orkes udgiver version 3.30.2, der lukker sårbarheden. Alle brugere opfordres til at opdatere omgående.
01/07/2026
Proof-of-concept-kode tilgængelig
Demonstrationskode, der viser hvordan angrebet udføres, cirkulerer offentligt, hvilket øger risikoen for aktiv udnyttelse markant.
02/07/2026
Aktiv scanning observeret
Sikkerhedsforskere rapporterer om automatiseret scanning efter sårbare Conductor-instanser på internettet, hvilket indikerer at angribere aktivt leder efter mål.

Konkrete eksempler

Angriber overtager server via workflow-API

En angriber finder en virksomheds Orkes Conductor-installation eksponeret på internettet og sender en HTTP-forespørgsel til API-endpointet for workflows. I forespørgslen indlejrer angriberen et ondsindet JavaScript-udtryk i en INLINE-opgave-definition. GraalVM-motoren evaluerer koden uden begrænsninger og eksekverer en systemkommando, der giver angriberen en baggårdsdørs-forbindelse (reverse shell) til serveren — alt uden at have logget ind.

Ransomware installeres på Conductor-server

Via den uautoriserede kodeeksekvering downloader en angriber et ransomware-program til Conductor-serveren og kører det. Alle filer på serveren krypteres, og virksomheden modtager et krav om løsesum for at få adgang igen. Fordi Conductor-serveren har adgang til andre interne systemer, spreder angrebet sig hurtigt i netværket.

Hemmelige API-nøgler stjæles fra miljøvariable

En angriber bruger sårbarheden til at injicere en Python-kommando via en DO_WHILE-opgave, der læser serverens miljøvariable (environment variables) og sender dem til en ekstern server. I miljøvariablene ligger API-nøgler til virksomhedens cloud-tjenester, databaser og betalingsudbydere — disse er nu i angriberens hænder og kan misbruges til dataudtræk eller økonomi-svindel.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-94

Original NVD-beskrivelse (engelsk)

Orkes Conductor 3.21.21 before 3.30.2 contains an unauthenticated remote code execution vulnerability that allows remote attackers to execute arbitrary OS commands by submitting inline workflow definitions containing malicious JavaScript or Python expressions to the workflow API endpoint prior to authentication. Attackers can exploit unsandboxed GraalVM evaluators configured with HostAccess.ALL or allowAllAccess(true) through INLINE, LAMBDA, DO_WHILE, and SWITCH task types to invoke arbitrary system commands via Java reflection or direct subprocess calls.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-58138
Offentliggjort
30/06/2026
Sidst opdateret
30/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.