CVE-2024-37306

Computer Vision Annotation Tool (CVAT), versões 2.2.0 a 2.14.3

A vulnerabilidade permite que um invasor inicie uma exportação de conjunto de dados ou um backup a partir de um projeto, tarefa ou trabalho que o usuário vítima tenha permissão para exportar para um armazenamento em nuvem ao qual o usuário vítima tenha acesso, induzindo um usuário conectado ao CVAT a visitar uma URL maliciosa. O invasor pode escolher o nome do arquivo resultante, o que implica que ele pode sobrescrever arquivos arbitrários em qualquer armazenamento em nuvem ao qual a vítima tenha acesso. Se o invasor tiver acesso de leitura ao armazenamento em nuvem usado no ataque, ele poderá obter arquivos de mídia, anotações, configurações e outras informações de quaisquer projetos, tarefas ou trabalhos que a vítima tenha permissão para exportar.

Para versões anteriores à 2.14.3, atualize para a versão 2.14.3 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao armazenamento em nuvem para usuários do CVAT a fim de minimizar o risco de exploração.

Evite usar o CVAT para exportar conjuntos de dados ou backups para o armazenamento em nuvem até que o problema seja resolvido.