CVE-2023-28635 in vantage6情報

要約

〜によって VulDB • 2026年05月09日

vantage6は、プライバシーを保護するフェデレーテッドラーニングのインフラストラクチャです。バージョン4.0.0より前では、悪意のあるユーザーが、名前として整数を持つリソースを作成することで、アクセスが許可されていないリソースへのアクセスを試みることができました。このリスクが顕著になる一例として、ユーザーが自ノード上でアルゴリズムを実行することを許可するユーザーを定義するケースが挙げられます。これはユーザー名またはユーザーIDによって定義されることがあります。例えば、ユーザーID 13がタスクの実行を許可されている場合、攻撃者がユーザー名を'13'に設定すると、誤ってアルゴリズムの実行が許可されてしまいます。コード内の他の箇所でも、リソースIDと名前の混同により問題が発生する可能性があります。バージョン4.0.0には、この問題に対するパッチが含まれています。最善の解決策は、リソースの作成または変更時に、リソース名が常に文字で始まることを確認することです。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub, Inc.

予約する

2023年03月20日

モデレーション

承諾済み

エントリ

VDB-241990

EPSS

0.00402

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!