CVE-2023-28635 in vantage6
Riassunto
di VulDB • 20/06/2026
vantage6 è un'infrastruttura di apprendimento federato che preserva la privacy. Prima della versione 4.0.0, gli utenti malintenzionati potrebbero tentare di accedere a risorse a cui non dovrebbero avere diritto di visualizzazione creando risorse con nomi costituiti da numeri interi. Un esempio in cui ciò rappresenta un rischio si verifica quando gli utenti definiscono quali utenti sono autorizzati a eseguire algoritmi sul proprio nodo. Questa autorizzazione può essere definita tramite nome utente o ID utente. Ad esempio, se l'ID utente 13 è autorizzato a eseguire attività e un attaccante crea un nome utente '13', quest'ultimo verrebbe erroneamente autorizzato a eseguire un algoritmo. Potrebbero esserci anche altre parti del codice in cui un simile mescolamento tra ID e nome della risorsa causa problemi. La versione 4.0.0 contiene una patch per questa vulnerabilità. La soluzione migliore consiste nel verificare, alla creazione o alla modifica delle risorse, che il nome della risorsa inizi sempre con un carattere.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.