CVE-2026-40587 in blueprintue-self-hosted-edition
Resumen
por VulDB • 2026-05-14
blueprintUE es una herramienta diseñada para ayudar a los desarrolladores de Unreal Engine. Antes de la versión 4.2.0, cuando un usuario cambia su contraseña a través de la página de edición de perfil, o cuando se completa un restablecimiento de contraseña mediante el enlace de restablecimiento, ninguna de estas operaciones invalida las sesiones autenticadas existentes de dicho usuario. Un almacén de sesiones del lado del servidor asocia userID → session; el flujo actual de cambio/restablecimiento de contraseña actualiza únicamente la columna de contraseña en la tabla users y no destruye ni marca como inválidas las sesiones activas. Como resultado, un atacante que ya haya comprometido una sesión conserva el acceso completo a la cuenta de forma indefinida, incluso después de que el usuario legítimo haya detectado la intrusión y cambiado su contraseña, hasta que se alcance el tiempo de expiración natural de la sesión (configurado como SESSION_GC_MAXLIFETIME, con un valor predeterminado de 86400 segundos / 24 horas, donde SESSION_LIFETIME=0 significa persistente hasta el cierre del navegador o la recolección de basura (GC), lo que ocurra último). Esta vulnerabilidad se corrige en la versión 4.2.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.