CVE-2023-41881
Deleting a collaboration should also delete linked resources
En resumen
Cuando se elimina una colaboración en vantage6, los recursos vinculados como tareas no siempre se eliminan. Esto podría permitir que usuarios en una nueva colaboración con el mismo ID vean datos accidentalmente de la colaboración anterior eliminada.
Detalle técnico
CWE-200/708: Fallo en la eliminación de recursos en vantage6 anterior a la versión 4.0.0 permite divulgación de información cuando una colaboración se elimina pero sus recursos asociados permanecen; la reutilización posterior del mismo ID de colaboración habilita que usuarios autenticados accedan a datos huérfanos del contexto anterior.
Resumen generado y traducido por IA a partir de la descripción oficial.
vantage6 is privacy preserving federated learning infrastructure. When a collaboration is deleted, the linked resources (such as tasks from that collaboration) should be deleted. This is partly to manage data properly, but also to prevent a potential (but unlikely) side-effect that affects versions prior to 4.0.0, where if a collaboration with id=10 is deleted, and subsequently a new collaboration is created with id=10, the authenticated users in that collaboration could potentially see results of the deleted collaboration in some cases. Version 4.0.0 contains a patch for this issue. There are no known workarounds.
CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N
Productos afectados
vantage6 · vantage6¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →