Katalog CVE

CVE-2026-46414

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Framework Microsoft UFO w wersji 3.0.1-4-ge2626659 ma problem z zaufaniem do pól tożsamości i roli dostarczanych przez klienta w wiadomościach zadań. Klient może zarejestrować się jako normalne urządzenie, a następnie wysłać wiadomość TASK, podszywając się pod wyższą rolę 'constellation', co prowadzi do przejęcia zadań przez atakującego.

Ocena ryzyka

Organizacja jest narażona na ryzyko przejęcia zadań przez atakujących, co może prowadzić do nieautoryzowanego dostępu do urządzeń i danych. Wysokie uprawnienia mogą być wykorzystane do wykonania złośliwych działań na innych podłączonych urządzeniach.

Rekomendacja

Zaleca się aktualizację frameworka Microsoft UFO do najnowszej wersji, aby usunąć tę podatność. Należy również wprowadzić dodatkowe mechanizmy weryfikacji ról i tożsamości w komunikacji WebSocket.

Oryginalny opis (angielski, źródło NVD)

Microsoft UFO open-source framework for intelligent automation across devices and platforms. In 3.0.1-4-ge2626659, Microsoft UFO's WebSocket control plane trusts client-supplied identity and role fields in task messages. A client connection can register as a normal device, but later send a TASK message claiming client_type="constellation" and target_id=<victim-device-id>. The server trusts the role and target values from the wire message rather than enforcing the role registered for that WebSocket connection. As a result, any authenticated WebSocket client with the shared server token can spoof the higher-privilege constellation role and dispatch attacker-controlled tasks to another connected device. The same client registry also allows duplicate client_id registration, overwriting an existing live client's stored websocket, role, and task protocol. This is an authenticated WebSocket role/identity spoofing issue leading to peer task hijacking.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS