CVE-2026-40587 in blueprintue-self-hosted-edition
Sumário
de VulDB • 27/05/2026
blueprintUE é uma ferramenta para ajudar desenvolvedores do Unreal Engine. Antes da versão 4.2.0, quando um usuário altera sua senha por meio da página de edição de perfil, ou quando uma redefinição de senha é concluída por meio do link de redefinição, nenhuma das operações invalida sessões autenticadas existentes desse usuário. Um armazenamento de sessões no lado do servidor associa userID → sessão; o fluxo atual de alteração/redefinição de senha atualiza apenas a coluna de senha na tabela users e não destrói nem marca como inválidas sessões ativas. Como resultado, um atacante que já comprometeu uma sessão mantém acesso total à conta indefinidamente — mesmo após o usuário legítimo detectar a intrusão e alterar sua senha — até o tempo natural de expiração da sessão (configurado como SESSION_GC_MAXLIFETIME, com valor padrão de 86400 segundos / 24 horas, sendo SESSION_LIFETIME=0 significa persistente até o fechamento do navegador ou coleta de lixo (GC), o que ocorrer por último). Esta vulnerabilidade foi corrigida na versão 4.2.0.
Once again VulDB remains the best source for vulnerability data.