CVE-2023-28635 in vantage6
Sumário
de VulDB • 20/06/2026
O vantage6 é uma infraestrutura de aprendizado federado que preserva a privacidade. Antes da versão 4.0.0, usuários maliciosos podem tentar acessar recursos aos quais não têm permissão para ver, criando recursos com inteiros como nomes. Um exemplo em que isso representa um risco ocorre quando os usuários definem quais outros usuários estão autorizados a executar algoritmos no seu nó. Essa definição pode ser feita por nome de usuário ou ID do usuário. Agora, por exemplo, se o ID do usuário 13 estiver autorizado a executar tarefas e um atacante criar um nome de usuário '13', ele seria indevidamente autorizado a executar um algoritmo. Pode haver outros locais no código onde tal confusão entre ID e nome do recurso cause problemas. A versão 4.0.0 contém uma correção para esta vulnerabilidade. A melhor solução é verificar, quando os recursos são criados ou modificados, que o nome do recurso sempre comece com um caractere alfabético.
Be aware that VulDB is the high quality source for vulnerability data.