CVE-2026-40586BlueprintUE是一款协助虚幻引擎开发者的工具。在4.2.0版本之前,其登录表单处理程序缺乏任何形式的节流机制。失败的认证尝试以全网络速度处理,且没有基于IP的速率限制、每账户尝试计数器、临时锁定、渐进式延迟或CAPTCHA验证。攻击者可以利用此漏洞提交无限数量的凭据猜测。尽管密码策略要求复杂度,但这并不能阻止字典攻击或凭据填充。该漏洞可能导致用户账户被非法入侵,机密信息泄露,目前已在4.2.0版本中修复。
该漏洞的技术根源在于认证端点完全缺乏节流逻辑。服务器在处理登录请求时,未实施任何针对单一IP地址或特定账户的请求频率检查机制。这意味着充当“守门人”角色的安全控制逻辑完全缺失。攻击者可以利用自动化脚本,向登录接口发送高频的HTTP POST请求,尝试不同的用户名和密码组合。由于系统未引入渐进式延迟或验证码(CAPTCHA)机制,攻击速度仅受限于攻击者的网络带宽。CVSS向量中的C:H表明其主要影响是导致机密数据泄露。该漏洞使得攻击者能够高效地实施凭据填充攻击(利用泄露的数据库)或暴力破解攻击。虽然密码策略要求混合字符,但在无限次尝试面前,这种防御极其脆弱。官方在4.2.0版本中通过实施速率限制和账户锁定策略修复了此问题,从而增加了暴力破解的时间成本和难度。