CVE-2026-24912

Nome do Software Vulnerável e Versões Afetadas Versões (versões afetadas não especificadas)

Descrição O backend WebSocket utiliza identificadores de estação de carregamento para associar sessões de forma única, mas permite que múltiplos endpoints se conectem utilizando o mesmo identificador de sessão. Isso resulta em identificadores de sessão previsíveis, permitindo o sequestro de sessão (session hijacking) ou sombreamento (shadowing), onde uma conexão recente pode deslocar uma estação de carregamento legítima e receber comandos de backend destinados a ela. Isso pode permitir autenticação de usuário não autorizada ou uma condição de negação de serviço, sobrecarregando o backend com solicitações de sessão válidas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.