CVE-2024-37164

Computer Vision Annotation Tool (CVAT), versões 2.1.0 a 2.14.3

A vulnerabilidade permite que um invasor com uma conta CVAT explore um recurso especificando URLs de endpoint personalizadas para armazenamentos em nuvem baseados no Amazon S3 e no Azure Blob Storage, potencialmente sondando a rede em busca de servidores HTTP(S) e criando um armazenamento em nuvem vinculado a um servidor interno. Isso poderia permitir que o invasor listasse, extraísse e/ou sobrescrevesse arquivos no servidor, dependendo da configuração do servidor interno.

Para as versões 2.1.0 a 2.14.3 da Ferramenta de Anotação de Visão Computacional (CVAT), atualize para a CVAT 2.14.3 para receber um patch, que aplica medidas de mitigação de SSRF existentes às solicitações para provedores de nuvem e proíbe o acesso a endereços IP da intranet por padrão. Como solução alternativa temporária, considere o uso de soluções de segurança de rede, como redes virtuais ou firewalls, para proibir o acesso de rede do backend do CVAT a servidores não relacionados em sua rede interna e/ou exigir autenticação para acesso a servidores internos.