CVE-2026-46544

Nome do Software Vulnerável e Versões Afetadas Microsoft UFO versão 3.0.1-4-ge2626659

Description O Microsoft UFO é um framework de código aberto para automação inteligente em diversos dispositivos e plataformas. O software aceita valores de session id fornecidos pelo cliente em mensagens de tarefa WebSocket e reutiliza um objeto de sessão em memória existente se esse session id já existir. Se uma sessão anterior tiver sido concluída e permanecer na memória com resultados preenchidos, um cliente autenticado diferente pode enviar uma nova mensagem TASK usando o mesmo session id. O servidor então reentra no objeto de sessão existente e envia o resultado obsoleto armazenado para o novo solicitante através do caminho de callback send task end(). Isso resulta em um replay de resultado obsoleto entre clientes autenticados, o que requer que o invasor conheça ou preveja um session id ativo ou concluído recentemente.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.