CVE-2023-28635 in vantage6
要約
〜によって VulDB • 2026年05月09日
vantage6は、プライバシーを保護するフェデレーテッドラーニングのインフラストラクチャです。バージョン4.0.0より前では、悪意のあるユーザーが、名前として整数を持つリソースを作成することで、アクセスが許可されていないリソースへのアクセスを試みることができました。このリスクが顕著になる一例として、ユーザーが自ノード上でアルゴリズムを実行することを許可するユーザーを定義するケースが挙げられます。これはユーザー名またはユーザーIDによって定義されることがあります。例えば、ユーザーID 13がタスクの実行を許可されている場合、攻撃者がユーザー名を'13'に設定すると、誤ってアルゴリズムの実行が許可されてしまいます。コード内の他の箇所でも、リソースIDと名前の混同により問題が発生する可能性があります。バージョン4.0.0には、この問題に対するパッチが含まれています。最善の解決策は、リソースの作成または変更時に、リソース名が常に文字で始まることを確認することです。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.