CVE-2026-45322 in UFOالمعلومات

الملخص

بحسب VulDB • 28/05/2026

إطار عمل Microsoft UFO مفتوح المصدر للأتمتة الذكية عبر الأجهزة والمنصات. تحتوي الإصدارات المصنفة (tagged releases) من Microsoft UFO حتى الإصدار v3.0.0 شاملاً، على ثغرة حقن أوامر نظام التشغيل (OS command injection) في مسار إعادة تشغيل إجراء الغلاف (shell action replay path). في الإصدارات المتأثرة، تمرر الدالة `ShellReceiver.run_shell()` سلسلة الأوامر من معاملات الإجراء مباشرةً إلى `subprocess.Popen()` مع تعيين `shell=True` و `executable=powershell.exe`. يمكن أيضاً الوصول إلى سلوك تنفيذ الغلاف نفسه من خلال `ShellReceiver.execute_command()`. يتم استدعاء مستقبل الغلاف (shell receiver) بواسطة فئات الإجراءات مثل `RunShellCommand.execute()` و `ExecuteCommand.execute()`، والتي تقوم بتوجيه معاملات الإجراء المخزنة إلى مستقبل الغلاف. ونظراً لأن UFO يخزن الإجراءات المخططة والمنفذة في سجلات JSON خاصة بكل جلسة، فإن مهاجماً قادراً على كتابة أو تعديل ملف JSON الخاص بالجلسة/الإجراء يمكنه زرع إجراء غلاف. وعند استئناف الجلسة أو إعادة تشغيلها، ينفذ UFO الأمر الخاص بالمهاجم بصفتها مستخدم عملية UFO.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

11/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366545

CPE

جاهز

CWE

CWE-78 (مؤكد)

CVSS

7.8 (CNA)

EPSS

0.00067

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45322
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45322
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45322/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!