PT-2024-19266 · Vantage6 · Vantage6
Lowbartvanb
·
Publicado
2024-01-30
·
Atualizado
2024-02-08
·
CVE-2024-22193
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do vantage6 anteriores à 4.2.0
Descrição
A tecnologia vantage6 é utilizada para gerenciar e implantar tecnologias de reforço da privacidade, como o Aprendizado Federado (FL) e a Computação Multipartidária (MPC). Não há verificações para determinar se a entrada está criptografada quando uma tarefa é criada em uma colaboração criptografada. Isso permite que um usuário crie acidentalmente uma tarefa com dados de entrada confidenciais, que serão então armazenados sem criptografia em um banco de dados.
Recomendações
Para versões anteriores à 4.2.0, certifique-se de que a configuração de criptografia esteja definida corretamente ao criar tarefas em colaborações criptografadas, a fim de evitar que dados de entrada confidenciais sejam armazenados sem criptografia no banco de dados. Como solução alternativa temporária, considere verificar novamente as configurações de criptografia para cada tarefa criada em uma colaboração criptografada até que um patch seja aplicado.
Exploit
Correção
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vantage6