CVE-2023-28635 in vantage6info

Zusammenfassung

von VulDB • 20.06.2026

vantage6 ist eine datenschutzfreundliche Infrastruktur für föderiertes Lernen. Vor Version 4.0.0 können böswillige Benutzer versuchen, auf Ressourcen zuzugreifen, die sie nicht einsehen dürfen, indem sie Ressourcen mit Ganzzahlen als Namen erstellen. Ein Beispiel, in dem dies ein Risiko darstellt, ist, wenn Benutzer festlegen, welche Benutzer berechtigt sind, Algorithmen auf ihrem Knoten auszuführen. Dies kann entweder über den Benutzernamen oder die Benutzer-ID definiert sein. Wenn beispielsweise Benutzer-ID 13 die Berechtigung hat, Aufgaben auszuführen, und ein Angreifer einen Benutzernamen mit dem Wert '13' erstellt, wird dieser fälschlicherweise zur Ausführung eines Algorithmus zugelassen. Es kann auch andere Stellen im Code geben, an denen eine solche Verwechslung von Ressourcen-ID oder -Name zu Problemen führt. Version 4.0.0 enthält einen Patch für dieses Problem. Die beste Lösung besteht darin, bei der Erstellung oder Änderung von Ressourcen zu überprüfen, ob der Ressourcenname immer mit einem Zeichen beginnt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

20.03.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-241990

CPE

bereit

EPSS

0.00402

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!