CVE-2026-46402
HighSummary
Framework open-source Microsoft UFO do inteligentnej automatyzacji na różnych urządzeniach i platformach w wersji 3.0.1-4-ge2626659 wykorzystuje wartość task_name kontrolowaną przez użytkownika bezpośrednio przy tworzeniu ścieżek logów sesji. Uwierzytelniony klient może dostarczyć sekwencje przejścia ścieżki w task_name, co pozwala na tworzenie katalogów logów i plików logów poza zamierzonym katalogiem logs/.
Risk Assessment
Atakujący z dostępem do konta użytkownika może wykorzystać tę podatność do uzyskania dostępu do systemu plików, co może prowadzić do ujawnienia wrażliwych danych lub manipulacji plikami logów. To stwarza ryzyko dla integralności i poufności danych w organizacji.
Recommendation
Zaleca się walidację i sanitizację wartości task_name, aby zapobiec wprowadzeniu sekwencji przejścia ścieżki. Należy również ograniczyć uprawnienia do zapisu w katalogu logów tylko do zaufanych użytkowników.
Original NVD description (English source)
Microsoft UFO open-source framework for intelligent automation across devices and platforms. In 3.0.1-4-ge2626659, Microsoft UFO uses the user-controlled task_name value directly when constructing session log paths. An authenticated client can supply path traversal sequences in task_name and cause UFO to create log directories and log files outside the intended logs/ directory.

