CVE-2024-37306 in cvatالمعلومات

الملخص

بحسب VulDB • 17/06/2026

أداة تعليق بيانات الرؤية الحاسوبية (CVAT) هي أداة تفاعلية لتعليق الفيديو والصور مخصصة للرؤية الحاسوبية. بدءاً من الإصدار 2.2.0 وحتى الإصدار 2.14.3 (غير مشمول)، إذا تمكن مهاجم من خداع مستخدم مسجل الدخول إلى CVAT لزيارة عنوان URL ضار، فيمكنه بدء تصدير مجموعة بيانات أو إنشاء نسخة احتياطية من مشروع أو مهمة أو مهمة فرعية (job) يمتلك المستخدم الضحية الصلاحية لتصديرها إلى تخزين سحابي يمكن للمستخدم الضحية الوصول إليه. يمكن للمهاجم اختيار اسم الملف الناتج. وهذا يعني أن المهاجم يمكنه الكتابة فوق ملفات عشوائية في أي تخزين سحابي يمكن للمستخدم الضحية الوصول إليه، وإذا كان للمهاجم صلاحية القراءة على التخزين السحابي المستخدم في الهجوم، فيمكنه الحصول على ملفات الوسائط، والتعليقات، والإعدادات، ومعلومات أخرى من أي مشاريع أو مهام أو مهام فرعية يمتلك المستخدم الضحية الصلاحية لتصديرها. يحتوي الإصدار 2.14.3 على إصلاح لهذه المشكلة. لا توجد حلول بديلة معروفة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

حجز

05/06/2024

إفشاء

13/06/2024

الاعتدال

تمت الموافقة

إدخال

VDB-268419

EPSS

0.00206

KEV

لا

النشاطات

منخفض جدًا

القطاع

Pharma, Police, ...

المصادر

Do you know our Splunk app?

Download it now for free!