В FedML-AI обнаружена уязвимость безопасности FedML до 0.8.9. Это влияет на неизвестную функцию файла FileUtils.java компонента обработчика сообщений MQTT. Выполнение манипуляции с аргументом dataSet приводит к обходу пути.
Атаку можно провести удаленно. Эксплойт был опубликован и может быть использован для атак. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A security flaw has been discovered in FedML-AI FedML up to 0.8.9. This impacts an unknown function of the file FileUtils.java of the component MQTT Message Handler. Performing a manipulation of the argument dataSet results in path traversal. The attack is possible to be carried out remotely. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0