Vulnerabilidad en vantage6 (CVE-2024-24770)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/03/2024
Última modificación:
30/07/2025
Descripción
vantage6 es un framework de código abierto creado para habilitar, administrar e implementar tecnologías que mejoran la privacidad, como el aprendizaje federado y la computación multipartita. Al igual que GHSA-45gq-q4xh-cp53, es posible encontrar qué nombres de usuario existen en vantage6 llamando a las rutas API `/recover/lost` y `/2fa/lost`. Estas rutas envían correos electrónicos a los usuarios si han perdido su contraseña o token MFA. Este problema se solucionó en el commit "aecfd6d0e" y se espera que se incluya en versiones posteriores. Se recomienda a los usuarios que actualicen tan pronto como esté disponible una nueva versión. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vantage6:vantage6:*:*:*:*:*:*:*:* | 4.2.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/vantage6/vantage6/commit/aecfd6d0e83165a41a60ebd52d2287b0217be26b
- https://github.com/vantage6/vantage6/security/advisories/GHSA-45gq-q4xh-cp53
- https://github.com/vantage6/vantage6/security/advisories/GHSA-5h3x-6gwf-73jm
- https://github.com/vantage6/vantage6/commit/aecfd6d0e83165a41a60ebd52d2287b0217be26b
- https://github.com/vantage6/vantage6/security/advisories/GHSA-45gq-q4xh-cp53
- https://github.com/vantage6/vantage6/security/advisories/GHSA-5h3x-6gwf-73jm