CVE-2026-46402

Nome do Software Vulnerável e Versões Afetadas Microsoft UFO versão 3.0.1-4-ge2626659

Descrição O Microsoft UFO é um framework de código aberto para automação inteligente em dispositivos e plataformas. O software utiliza o valor task name, controlado pelo usuário, diretamente ao construir caminhos de log de sessão. Um cliente autenticado pode fornecer sequências de travessia de caminho (path traversal) na variável task name, permitindo a criação de diretórios e arquivos de log fora do diretório 'logs/' pretendido. Path traversal é uma técnica utilizada para acessar arquivos e diretórios armazenados fora da pasta raiz da web através da manipulação de variáveis que referenciam arquivos com sequências de ponto-ponto-barra (../).

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.