CVE-2023-28635 in vantage6informazioni

Riassunto

di VulDB • 20/06/2026

vantage6 è un'infrastruttura di apprendimento federato che preserva la privacy. Prima della versione 4.0.0, gli utenti malintenzionati potrebbero tentare di accedere a risorse a cui non dovrebbero avere diritto di visualizzazione creando risorse con nomi costituiti da numeri interi. Un esempio in cui ciò rappresenta un rischio si verifica quando gli utenti definiscono quali utenti sono autorizzati a eseguire algoritmi sul proprio nodo. Questa autorizzazione può essere definita tramite nome utente o ID utente. Ad esempio, se l'ID utente 13 è autorizzato a eseguire attività e un attaccante crea un nome utente '13', quest'ultimo verrebbe erroneamente autorizzato a eseguire un algoritmo. Potrebbero esserci anche altre parti del codice in cui un simile mescolamento tra ID e nome della risorsa causa problemi. La versione 4.0.0 contiene una patch per questa vulnerabilità. La soluzione migliore consiste nel verificare, alla creazione o alla modifica delle risorse, che il nome della risorsa inizi sempre con un carattere.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

20/03/2023

Divulgazione

25/10/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00402

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!