CVE-2026-40587 in blueprintue-self-hosted-edition
Résumé
par VulDB • 27/05/2026
blueprintUE est un outil destiné à aider les développeurs d'Unreal Engine. Avant la version 4.2.0, lorsqu'un utilisateur modifie son mot de passe via la page de modification du profil, ou lorsqu'une réinitialisation du mot de passe est effectuée via le lien de réinitialisation, aucune de ces opérations n'invalidé les sessions authentifiées existantes pour cet utilisateur. Un magasin de sessions côté serveur associe userID → session ; le flux actuel de changement/réinitialisation du mot de passe met à jour uniquement la colonne du mot de passe dans la table users et ne détruit ni ne marque comme invalides les sessions actives. Par conséquent, un attaquant qui a déjà compromis une session conserve un accès complet au compte de manière indéfinie — même après que l'utilisateur légitime a détecté l'intrusion et changé son mot de passe — jusqu'à l'expiration naturelle de la session (configurée via SESSION_GC_MAXLIFETIME, par défaut 86400 secondes / 24 heures, SESSION_LIFETIME=0 signifiant une persistance jusqu'à la fermeture du navigateur ou au garbage collection, selon la date la plus tardive). Cette vulnérabilité est corrigée dans la version 4.2.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.