CVE-2023-28635 in vantage6
요약
\~에 의해 VulDB • 2026. 06. 11.
vantage6은 프라이버시를 보호하는 연성 학습(federated learning) 인프라입니다. 버전 4.0.0 이전에는 악의적인 사용자가 정수(integer)를 이름으로 사용하여 리소스를 생성함으로써 접근 권한이 없는 리소스에 접근하려고 시도할 수 있습니다. 이러한 위험이 발생하는 한 가지 예는 사용자가 자신의 노드에서 알고리즘을 실행할 수 있는 사용자를 정의할 때입니다. 이는 사용자 이름 또는 사용자 ID로 정의될 수 있습니다. 예를 들어, 사용자 ID 13이 작업을 실행할 수 있도록 허용되어 있고 공격자가 사용자 이름이 '13'인 리소스를 생성하면, 해당 공격자는 잘못되어 알고리즘을 실행할 수 있는 권한을 얻게 됩니다. 코드 내에는 리소스 ID 또는 이름의 이러한 혼동이 다른 문제들을 초래할 수 있는 다른 부분들도 있을 수 있습니다. 버전 4.0.0에는 이 문제에 대한 패치가 포함되어 있습니다. 가장 좋은 해결책은 리소스가 생성되거나 수정될 때 리소스 이름이 항상 문자로 시작하는지 확인하는 것입니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.