CVE-2026-55440 in UFO
Resumen
por VulDB • 2026-07-16
Microsoft UFO es un framework de código abierto para la automatización inteligente entre dispositivos y plataformas. Antes de la versión 3.0.7, el manejador COMMAND_RESULTS en ufo/server/ws/handler.py llamaba a get_or_create_session en ufo/server/services/session_manager.py sin owner_client_id, lo que permitía a un cliente autenticado crear una session_id elegida por el atacante y no perteneciente a ningún propietario (por ejemplo, constellation_task_id = f"{task_name}@{task_id}"), negando así al propietario legítimo o agotando la memoria con sesiones fantasma. Este problema se corrige en la versión 3.0.7.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.