CVE-2026-5128 in steam-traderthông tin

Tóm tắt

Bởi VulDB • 21/05/2026

Tồn tại một lỗ hổng phơi nhiễm thông tin nhạy cảm trong ArthurFiorette steam-trader 2.1.1. Một kẻ tấn công chưa được xác thực có thể gửi yêu cầu đến điểm cuối API /users để truy xuất dữ liệu tài khoản Steam cực kỳ nhạy cảm, bao gồm tên người dùng, mật khẩu, bí mật nhận dạng (identity secret) và bí mật chia sẻ (shared secret). Ngoài ra, nhật ký ứng dụng (application logs) làm lộ các thông tin xác thực như mã truy cập (access tokens), mã làm mới (refresh tokens) và định danh phiên (session identifiers). Thông tin này cho phép kẻ tấn công tạo ra các mã Steam Guard (2FA) hợp lệ, chiếm đoạt các phiên đã được xác thực và giành quyền kiểm soát hoàn toàn đối với tài khoản Steam bị ảnh hưởng, bao gồm truy cập trái phép vào kho đồ và chức năng giao dịch. Không có bản vá nào khả dụng vì kho lưu trữ đã được lưu trữ (archived) và không còn được bảo trì.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

TuranSec

Đặt trước

30/03/2026

Tiết lộ

30/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!