CVE-2023-28635 in vantage6información

Resumen

por VulDB • 2026-06-20

vantage6 es una infraestructura de aprendizaje federado que preserva la privacidad. Antes de la versión 4.0.0, los usuarios maliciosos podrían intentar acceder a recursos a los que no tienen permiso para ver mediante la creación de recursos con enteros como nombres. Un ejemplo en el que esto representa un riesgo ocurre cuando los usuarios definen qué otros usuarios están autorizados para ejecutar algoritmos en su nodo. Esto puede definirse por nombre de usuario o ID de usuario. Ahora bien, si, por ejemplo, al usuario con ID 13 se le permite ejecutar tareas y un atacante crea un nombre de usuario '13', este último sería autorizado incorrectamente para ejecutar un algoritmo. También podría haber otras partes del código donde una confusión entre el ID y el nombre del recurso genere problemas. La versión 4.0.0 contiene un parche para esta vulnerabilidad. La mejor solución consiste en verificar, al crear o modificar recursos, que el nombre del recurso siempre comience con un carácter.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2023-03-20

Divulgación

2023-10-25

Moderación

aceptado

Artículo

VDB-241990

CPE

listo

EPSS

0.00402

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!