CVE-2026-45322 in UFO
요약
\~에 의해 VulDB • 2026. 05. 28.
Microsoft UFO는 장치 및 플랫폼 전반에 걸쳐 지능형 자동화를 위한 오픈소스 프레임워크입니다. v3.0.0을 포함하여 그 이전의 Microsoft UFO 태그된 릴리스에는 셸 액션 재생 경로에서 OS 명령어 삽입 취약점이 존재합니다. 영향을 받는 릴리스에서 ShellReceiver.run_shell()은 액션 매개변수에서 명령어 문자열을 직접 shell=True 및 executable=powershell.exe 옵션과 함께 subprocess.Popen()에 전달합니다. 동일한 셸 실행 동작은 ShellReceiver.execute_command()를 통해서도 접근 가능합니다. 셸 리시버는 RunShellCommand.execute() 및 ExecuteCommand.execute()와 같은 액션 클래스에 의해 호출되며, 이러한 클래스는 저장된 액션 매개변수를 셸 리시버로 전달합니다. UFO는 계획된 실행 및 실행된 액션을 세션별 JSON 레코드에 저장하므로, 세션/액션 JSON 파일을 작성하거나 수정할 수 있는 공격자는 셸 액션을 심을 수 있습니다. 세션이 재개되거나 재생될 때 UFO는 공격자의 명령어를 UFO 프로세스 사용자 권한으로 실행합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.