CVE-2026-9831 是 Extreme Networks 旗下共享平台 Extreme Platform ONE 中 IAM 网关 API 密钥认证路径存在的一个竞态条件漏洞。在高并发流量条件下，该竞态条件可能间歇性地导致使用 /IAM 颁发的 API 密钥进行认证的请求，错误地接收到另一个租户的响应数据。该问题通过 ExtremeCloud IQ 和 XIQ 的 API 端点被观察到，并已针对 XIQ/XAPI 以及 Extreme Platform ONE /Common Services API 路径得到验证。XIQ 原生令牌和标准 OAuth/Bearer JWT 认证不受影响。该漏洞的 CVSS 评分为 6.3（中等），攻击复杂度较高，需要低权限，且影响范围涉及机密性（高），但未影响完整性和可用性。值得注意的是，该漏洞仅影响共享的 Extreme Platform ONE IAM 网关，而非所有实例。厂商已发布安全公告及补丁，建议受影响用户立即更新至修复版本。此外，限制 API 端点的网络暴露范围可作为临时缓解措施。目前未发现该漏洞已遭在野利用，也未被列入已知被利用漏洞目录（KEV）。

Microsoft UFO open-source framework for intelligent automation across devices and platforms. In 3.0.1-4-ge2626659, Microsoft UFO creates one shared UFOWebSocketHandler instance and reuses it for multiple authenticated WebSocket connections. The handler stores per-connection protocol objects in mutable instance fields. Each new WebSocket connection overwrites those fields. Later, message handlers s