CVE-2023-28635 in vantage6
Zusammenfassung
von VulDB • 20.06.2026
vantage6 ist eine datenschutzfreundliche Infrastruktur für föderiertes Lernen. Vor Version 4.0.0 können böswillige Benutzer versuchen, auf Ressourcen zuzugreifen, die sie nicht einsehen dürfen, indem sie Ressourcen mit Ganzzahlen als Namen erstellen. Ein Beispiel, in dem dies ein Risiko darstellt, ist, wenn Benutzer festlegen, welche Benutzer berechtigt sind, Algorithmen auf ihrem Knoten auszuführen. Dies kann entweder über den Benutzernamen oder die Benutzer-ID definiert sein. Wenn beispielsweise Benutzer-ID 13 die Berechtigung hat, Aufgaben auszuführen, und ein Angreifer einen Benutzernamen mit dem Wert '13' erstellt, wird dieser fälschlicherweise zur Ausführung eines Algorithmus zugelassen. Es kann auch andere Stellen im Code geben, an denen eine solche Verwechslung von Ressourcen-ID oder -Name zu Problemen führt. Version 4.0.0 enthält einen Patch für dieses Problem. Die beste Lösung besteht darin, bei der Erstellung oder Änderung von Ressourcen zu überprüfen, ob der Ressourcenname immer mit einem Zeichen beginnt.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.