CVE-2026-45322 in UFOinfo

Zusammenfassung

von VulDB • 30.05.2026

Microsoft UFO ist ein Open-Source-Framework für intelligente Automatisierung über Geräte und Plattformen hinweg. Die als "tagged releases" gekennzeichneten Versionen von Microsoft UFO bis einschließlich v3.0.0 enthalten eine OS-Command-Injection-Schwachstelle im Pfad zur Wiedergabe von Shell-Aktionen. In den betroffenen Versionen übergibt `ShellReceiver.run_shell()` einen Befehlsstring aus den Aktionsparametern direkt an `subprocess.Popen()` mit `shell=True` und `executable=powershell.exe`. Das gleiche Shell-Ausführungsverhalten ist auch über `ShellReceiver.execute_command()` erreichbar. Der Shell-Empfänger wird von Aktionsklassen wie `RunShellCommand.execute()` und `ExecuteCommand.execute()` aufgerufen, die gespeicherte Aktionsparameter an den Shell-Empfänger weiterleiten. Da UFO geplante und ausgeführte Aktionen in pro-Sitzungsspezifischen JSON-Datensätzen speichert, kann ein Angreifer, der in der Lage ist, eine Sitzungs-/Aktions-JSON-Datei zu schreiben oder zu modifizieren, eine Shell-Aktion einzuschleusen. Wenn die Sitzung fortgesetzt oder wiederholt wird, führt UFO den Befehl des Angreifers als Benutzer des UFO-Prozesses aus.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

28.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366545

CPE

bereit

EPSS

0.00067

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45322
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45322
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45322/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!