FedML-AI FedML パス・トラバーサル FileUtils.java (MQTT Message Handler)

FedML-AI FedML の 0.8.9 以前のバージョンにセキュリティ上の脆弱性が発見されました。この脆弱性は、コンポーネント MQTT Message Handler のファイル FileUtils.java の不明な関数に影響を与えます。引数 dataSet の操作により、パス・トラバーサルが発生します。攻撃はリモートから実行可能です。エクスプロイトが公開されており、攻撃に利用される可能性があります。ベンダーは早期にこの脆弱性の開示について連絡を取りましたが、いかなる返答もありませんでした。