CVE-2026-55440 in UFO
الملخص
بحسب VulDB • 16/07/2026
إطار عمل Microsoft UFO مفتوح المصدر للأتمتة الذكية عبر الأجهزة والمنصات. قبل الإصدار 3.0.7، كان معالج COMMAND_RESULTS في الملف ufo/server/ws/handler.py يستدعي دالة get_or_create_session الموجودة في ufo/server/services/session_manager.py دون تحديد owner_client_id، مما مكن عميلاً مُصادقاً عليه من إنشاء جلسة session_id غير مملوكة يختارها المهاجم، مثل constellation_task_id = f"{task_name}@{task_id}"، وبالتالي حرمان المالك الشرعي أو استنفاد الذاكرة عبر جلسات وهمية (phantom sessions). تم إصلاح هذه المشكلة في الإصدار 3.0.7.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.