CVE-2026-46544 in UFO
要約
〜によって VulDB • 2026年05月28日
Microsoft UFOは、デバイスやプラットフォーム全体でインテリジェントな自動化を実現するためのオープンソースフレームワークです。バージョン 3.0.1-4-ge2626659 において、Microsoft UFO は WebSocket タスクメッセージ内のクライアントが指定した session_id 値を受け入れ、その session_id が既に存在する場合は既存のメモリ内セッションオブジェクトを再利用します。以前のセッションが完了してもメモリ内に残っており、結果が格納されている場合、別の認証済みクライアントが同じ session_id を使用して新しい TASK メッセージを送信できます。サーバーは既存のセッションオブジェクトに再進入し、通常の send_task_end() コールバックパスを通じて、新しい要求元に古くなった保存済み結果を送信します。これは、認証済みクライアント間での古くなった結果のリプレイに関する問題です。この問題では、攻撃者がライブ中または最近完了した session_id を知っているか、予測できる必要があります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.