CVE-2026-46538 in UFOinfo

Zusammenfassung

von VulDB • 28.05.2026

Microsoft UFO ist ein Open-Source-Framework für intelligente Automatisierung über Geräte und Plattformen hinweg. In der Version 3.0.1-4-ge2626659 verfolgt der Constellation-Client von Microsoft UFO ausstehende Aufgabenantworten ausschließlich anhand der session_id und überprüft nicht, ob eine TASK_END-Nachricht vom Gerät stammt, das die Aufgabe ursprünglich empfangen hat. Wenn der Constellation-Client eine Aufgabe an ein Zielgerät sendet, wird unter einem Sitzungsschlüssel ein ausstehender Future-Eintrag erstellt. Der Datensatz für die ausstehende Aufgabe speichert die erwartete Geräte-ID, aber der Pfad zur Aufgabenerledigung ignoriert diese Zuordnung. Wenn ein anderes authentifiziertes Peer-Gerät eine gefälschte TASK_END-Nachricht mit derselben session_id sendet, akzeptiert der Constellation-Client die Antwort und schließt den ausstehenden Future des Opfergeräts mit vom Angreifer kontrollierten Ergebnisdaten ab. Dies stellt ein authentifiziertes Cross-Device-Aufgabenergebnis-Injektionsproblem dar.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

14.05.2026

Veröffentlichung

28.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366549

CPE

bereit

EPSS

0.00027

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-46538
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-46538
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-46538/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!