| タイトル | FedML-AI FedML <=0.8.9 Path Traversal |
|---|
| 説明 | A path traversal vulnerability (CWE-22) exists in the Android client of FedML. The client processes MQTT messages as task instructions and uses the dataSet parameter to construct filesystem paths without validation.
An attacker who can publish or tamper with MQTT messages can supply crafted path traversal payloads (e.g., ../../../../) to cause the client to access and enumerate arbitrary directories within the app’s accessible filesystem. |
|---|
| ソース | ⚠️ https://github.com/AnalogyC0de/public_exp/issues/25 |
|---|
| ユーザー | Ana10gy (UID 93358) |
|---|
| 送信 | 2026年03月18日 09:40 (29 日 ago) |
|---|
| モデレーション | 2026年04月04日 08:40 (17 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 355288 [FedML-AI FedML 迄 0.8.9 MQTT Message FileUtils.java dataSet ディレクトリトラバーサル] |
|---|
| ポイント | 20 |
|---|