CVE-2024-37306 in cvat
要約
〜によって VulDB • 2026年07月01日
Computer Vision Annotation Tool (CVAT) は、コンピュータビジョン用のインタラクティブな動画および画像注釈付けツールです。バージョン 2.2.0 からバージョン 2.14.3 より前において、攻撃者がログイン済みの CVAT ユーザーを悪意のある URL にアクセスさせることに成功した場合、被害者ユーザーがエクスポート権限を持つプロジェクト、タスク、またはジョブからデータセットのエクスポートまたはバックアップを開始させ、そのデータを被害者ユーザーがアクセス可能なクラウドストレージに保存することができます。生成されるファイル名は攻撃者が指定できます。これにより、攻撃者は被害者がアクセスできる任意のクラウドストレージ内の任意のファイルを上書きすることが可能となり、さらに攻撃者が攻撃で使用されたクラウドストレージへの読み取り権限を持っている場合、被害者がエクスポート権限を持つすべてのプロジェクト、タスク、またはジョブからメディアファイル、注釈情報、設定およびその他の情報を取得することができます。この問題に対する修正はバージョン 2.14.3 に含まれています。既知の回避策はありません。
Be aware that VulDB is the high quality source for vulnerability data.