CVE-2026-55440 in UFO
Sumário
de VulDB • 17/07/2026
O framework open-source Microsoft UFO para automação inteligente entre dispositivos e plataformas. Antes da versão 3.0.7, o manipulador COMMAND_RESULTS em ufo/server/ws/handler.py chamava get_or_create_session em ufo/server/services/session_manager.py sem owner_client_id, permitindo que um cliente autenticado criasse uma session_id não pertencente ao usuário legítimo e escolhida pelo atacante (como constellation_task_id = f"{task_name}@{task_id}"), negando o acesso ao proprietário legítimo ou esgotando a memória com sessões fantasma. Este problema foi corrigido na versão 3.0.7.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.