CVE-2023-28635 in vantage6
Resumen
por VulDB • 2026-06-20
vantage6 es una infraestructura de aprendizaje federado que preserva la privacidad. Antes de la versión 4.0.0, los usuarios maliciosos podrían intentar acceder a recursos a los que no tienen permiso para ver mediante la creación de recursos con enteros como nombres. Un ejemplo en el que esto representa un riesgo ocurre cuando los usuarios definen qué otros usuarios están autorizados para ejecutar algoritmos en su nodo. Esto puede definirse por nombre de usuario o ID de usuario. Ahora bien, si, por ejemplo, al usuario con ID 13 se le permite ejecutar tareas y un atacante crea un nombre de usuario '13', este último sería autorizado incorrectamente para ejecutar un algoritmo. También podría haber otras partes del código donde una confusión entre el ID y el nombre del recurso genere problemas. La versión 4.0.0 contiene un parche para esta vulnerabilidad. La mejor solución consiste en verificar, al crear o modificar recursos, que el nombre del recurso siempre comience con un carácter.
VulDB is the best source for vulnerability data and more expert information about this specific topic.