ホーム
» GitHub Security Advisories
» GHSA-vc3v-ppc7-v486
説明
Impact
A node does not check if an image is allowed to run if a parent_id is set. A malicious party that breaches the server may modify it to set a fake parent_id and send a task of a non-whitelisted algorithm. The node will then execute it because the parent_id that is set prevents checks from being run. Relevant node code here
This impacts all servers that are breached by an expert user
Patches
Fixed in v4.1.2
Workarounds
None
基本情報
タイプ
reviewed
深刻度
high
GitHub 上のアドバイザリ
アドバイザリを開く ↗
リポジトリのアドバイザリ
リポジトリのアドバイザリを開く ↗
ソースコード
ソースを見る ↗
公開(アドバイザリ)
2023-11-14 22:21:57 UTC
更新
2024-11-22 20:43:07 UTC
GitHub レビュー済み
2023-11-14 22:21:57 UTC
NVD で公開
2023-11-14
EPSS Score
Score
Percentile
0.30%
52.63%
CVSS Scores
Base score
Version
Severity
Vector
7.2
3.1
—
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:H)
管理者・SYSTEM など、強い権限を握った状態からでないと実害に結びつきにくい。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U)
影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H)
広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H)
権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H)
長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。
CWEs
CWE id
Name
CWE-345
Insufficient Verification of Data Authenticity
CWE-358
Improperly Implemented Security Check for Standard
Affected packages (2)
Vulnerable version ranges and first patched releases as published by GitHub.
Ecosystem
Package
Vulnerable range
First patched
Vulnerable functions
pip
vantage6-server
< 4.1.2
4.1.2
—
pip
vantage6-node
< 4.1.2
4.1.2
—
cvelogic
Threat Intelligence