CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-46402

High
Published: Translated: NVD NIST

Summary

Framework open-source Microsoft UFO do inteligentnej automatyzacji na różnych urządzeniach i platformach w wersji 3.0.1-4-ge2626659 wykorzystuje wartość task_name kontrolowaną przez użytkownika bezpośrednio przy tworzeniu ścieżek logów sesji. Uwierzytelniony klient może dostarczyć sekwencje przejścia ścieżki w task_name, co pozwala na tworzenie katalogów logów i plików logów poza zamierzonym katalogiem logs/.

Risk Assessment

Atakujący z dostępem do konta użytkownika może wykorzystać tę podatność do uzyskania dostępu do systemu plików, co może prowadzić do ujawnienia wrażliwych danych lub manipulacji plikami logów. To stwarza ryzyko dla integralności i poufności danych w organizacji.

Recommendation

Zaleca się walidację i sanitizację wartości task_name, aby zapobiec wprowadzeniu sekwencji przejścia ścieżki. Należy również ograniczyć uprawnienia do zapisu w katalogu logów tylko do zaufanych użytkowników.

Original NVD description (English source)

Microsoft UFO open-source framework for intelligent automation across devices and platforms. In 3.0.1-4-ge2626659, Microsoft UFO uses the user-controlled task_name value directly when constructing session log paths. An authenticated client can supply path traversal sequences in task_name and cause UFO to create log directories and log files outside the intended logs/ directory.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS