CVE-2026-40587 in blueprintue-self-hosted-edition
요약
\~에 의해 VulDB • 2026. 05. 21.
blueprintUE는 Unreal Engine 개발자를 돕기 위한 도구입니다. 4.2.0 이전 버전에서는 사용자가 프로필 편집 페이지를 통해 비밀번호를 변경하거나, 비밀번호 재설정 링크를 통해 비밀번호 재설정이 완료될 때, 해당 사용자의 기존 인증된 세션이 무효화되지 않습니다. 서버 측 세션 저장소는 userID → 세션 매핑을 사용하며, 현재 비밀번호 변경/재설정 흐름은 users 테이블의 비밀번호 열만 업데이트하고 활성 세션을 삭제하거나 무효로 표시하지 않습니다. 그 결과, 이미 세션을 침해한 공격자는 합법적인 사용자가 침입을 감지하고 비밀번호를 변경한 후에도 세션의 자연 만료 시간(SESSION_GC_MAXLIFETIME로 구성되며 기본값은 86400초(24시간), SESSION_LIFETIME=0은 브라우저 종료 또는 GC 중 더 늦은 시점까지 지속됨을 의미)까지 계정 전체에 무제한 접근할 수 있습니다. 이 취약점은 4.2.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.