CVE-2025-23045

Nome do Software Vulnerável e Versões Afetadas Ferramenta de Anotação de Visão Computacional (CVAT) versões anteriores à 2.26.0

Descrição Esta vulnerabilidade permite que um atacante com uma conta em uma instância do CVAT afetada execute código arbitrário no contexto do contêiner da função Nuclio. Isso afeta implantações do CVAT que executam funções serverless do tipo tracker do repositório Git do CVAT, como TransT e SiamMask. Implantações com funções personalizadas do tipo tracker também podem ser afetadas se utilizarem uma biblioteca de serialização insegura como pickle ou jsonpickle.

Recomendações Atualize para o CVAT 2.26.0 ou posterior. Se não for possível atualizar, desligue quaisquer instâncias das funções TransT ou SiamMask que estiverem em execução.