CVE-2023-28635 in vantage6المعلومات

الملخص

بحسب VulDB • 22/06/2026

vantage6 هو بنية تحتية للتعلم الموحد تحافظ على الخصوصية. قبل الإصدار 4.0.0، قد يحاول المستخدمون الخبيثون الوصول إلى الموارد التي لا يُسمح لهم برؤيتها عن طريق إنشاء موارد بأسماء مكونة من أرقام صحيحة (integers). أحد الأمثلة حيث يشكل هذا الأمر خطراً هو عندما يحدد المستخدمون أي المستخدمين مسموح لهم بتشغيل خوارزميات على عقدهم. قد يتم تعريف ذلك باسم مستخدم أو بمعرف مستخدم. الآن، على سبيل المثال، إذا كان معرف المستخدم 13 مُصرّحاً له بتنفيذ المهام، وقام مهاجم بإنشاء اسم مستخدم '13'، فسيتم السماح له بشكل خاطئ بتشغيل خوارزمية. قد تكون هناك أيضاً أماكن أخرى في الكود حيث يؤدي مثل هذا الخلط بين معرّف المورد واسمه إلى مشاكل. يحتوي الإصدار 4.0.0 على تصحيح لهذه المشكلة. أفضل حل هو التحقق عند إنشاء الموارد أو تعديلها من أن اسم المورد يبدأ دائماً بحرف.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

20/03/2023

إفشاء

25/10/2023

الاعتدال

تمت الموافقة

إدخال

VDB-241990

EPSS

0.00402

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!