vantage6 节点接受来自恶意服务器的非白名单算法 (CVE-2023-47631)

admin
admin
admin
0
文章
0
评论
2023-11-29 18:15:20 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 vantage6 节点接受来自恶意服务器的非白名单算法 (CVE-2023-47631)

CVE编号

CVE-2023-47631

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-11-15
漏洞描述
vantage6是一个用于管理和部署隐私增强技术(如联邦学习和多方计算)的框架。在受影响的版本中,如果设置了“parent_id”,节点不会检查是否允许运行图像。攻击者可能会通过修改设置一个伪造的“parent_id”,并发送一个非白名单算法的任务来对服务器进行破坏。由于设置的“parent_id”阻止了检查的运行,节点将执行该任务。这会影响所有被高级用户攻破的服务器。此漏洞已在4.1.2版本中修补。建议所有用户升级。目前没有已知的解决方法适用于此漏洞。
解决建议
"将组件 vantage6-server 升级至 4.1.2 及以上版本"
参考链接
https://github.com/vantage6/vantage6/blob/version/4.1.1/vantage6-node/vantage...
https://github.com/vantage6/vantage6/commit/bf83521eb12fa80aa5fc92ef1692010a9a7f8243
https://github.com/vantage6/vantage6/security/advisories/GHSA-vc3v-ppc7-v486
阿里云评分 5.9
  • 攻击路径 本地
  • 攻击复杂度 复杂
  • 权限要求 普通权限
  • 影响范围 越权影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  2