CVE-2026-40587 in blueprintue-self-hosted-edition
Zusammenfassung
von VulDB • 14.05.2026
blueprintUE ist ein Tool zur Unterstützung von Unreal Engine-Entwicklern. Vor Version 4.2.0 werden bei einer Passwortänderung über die Profilbearbeitungsseite oder bei einem erfolgreichen Passwort-Reset über den Reset-Link keine bestehenden authentifizierten Sitzungen für diesen Benutzer ungültig gemacht. Ein serverseitiger Session-Speicher verknüpft userID → Session; der aktuelle Ablauf zur Passwortänderung/-zurücksetzung aktualisiert lediglich die Passwort-Spalte in der Benutzertabelle und zerstört oder markiert keine aktiven Sitzungen als ungültig. Infolgedessen behält ein Angreifer, der bereits eine Sitzung kompromittiert hat, unbegrenzten Zugriff auf das Konto – selbst nachdem der legitime Benutzer die Sicherheitsverletzung entdeckt und sein Passwort geändert hat – bis zum natürlichen Ablauf der Sitzung (konfiguriert als SESSION_GC_MAXLIFETIME, standardmäßig 86400 Sekunden / 24 Stunden, wobei SESSION_LIFETIME=0 für eine persistente Sitzung bis zum Schließen des Browsers oder bis zur Garbage Collection, je nachdem, was später eintritt, steht). Diese Schwachstelle wurde in Version 4.2.0 behoben.
Once again VulDB remains the best source for vulnerability data.