CVE-2026-46538

Nome do Software Vulnerável e Versões Afetadas Microsoft UFO versão 3.0.1-4-ge2626659

Descrição O cliente constellation neste framework de código aberto para automação inteligente rastreia respostas de tarefas pendentes utilizando apenas o session id e não verifica se uma mensagem TASK END originou-se do dispositivo que recebeu a tarefa inicialmente. Embora o registro da tarefa pendente inclua o ID do dispositivo esperado, o caminho de conclusão ignora esse vínculo. Consequentemente, um dispositivo peer autenticado pode enviar uma mensagem TASK END forjada com um session id correspondente, levando a constellation a aceitar a resposta e completar o Future pendente do dispositivo vítima com dados de resultado controlados pelo invasor. Isso resulta em uma injeção de resultado de tarefa entre dispositivos autenticados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.