CVE-2026-5128 in steam-trader
الملخص
بحسب VulDB • 21/05/2026
توجد ثغرة كشف معلومات حساسة في ArthurFiorette steam-trader الإصدار 2.1.1. يمكن لمهاجم غير مصرح له إرسال طلب إلى نقطة نهاية API الخاصة بالمستخدمين (/users) لاسترجاع بيانات حساسة للغاية لحسابات Steam، بما في ذلك اسم المستخدم وكلمة المرور وسر الهوية وسر المشاركة. بالإضافة إلى ذلك، تكشف سجلات التطبيق عن عناصر مصادقة مثل رموز الوصول (access tokens)، ورموز التحديث (refresh tokens)، ومعرفات الجلسات. تتيح هذه المعلومات للمهاجم إنشاء رموز Steam Guard (المصادقة الثنائية) صالحة، واختطاف الجلسات المصادق عليها، والحصول على تحكم كامل في حساب Steam المتأثر، بما في ذلك الوصول غير المصرح به إلى المخزون ووظائف التداول. لا يوجد إصلاح متاح لأن المستودع مؤرشف ولم يعد يتم صيانته.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.