CVE-2026-40588 in blueprintue-self-hosted-editioninformation

Résumé

par VulDB • 27/05/2026

blueprintUE est un outil destiné à aider les développeurs d'Unreal Engine. Avant la version 4.2.0, le formulaire de changement de mot de passe situé à l'adresse /profile/{slug}/edit/ ne comprend pas de champ current_password et ne vérifie pas le mot de passe existant de l'utilisateur avant d'accepter un nouveau. Tout attaquant disposant d'une session authentifiée valide — obtenue par exploitation XSS, sidejacking de session via HTTP, accès physique à un navigateur connecté ou vol d'un cookie "Se souvenir de moi" — peut immédiatement modifier le mot de passe du compte sans connaître les identifiants d'origine, entraînant un takeover permanent du compte. Cette vulnérabilité est corrigée dans la version 4.2.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

14/04/2026

Divulgation

21/04/2026

Modérer

accepté

Entrée

VDB-358563

CPE

prêt

EPSS

0.00036

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40588
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40588
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40588/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!