Vulnerabilidad en Computer Vision Annotation Tool (CVE-2024-37164)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
13/06/2024
Última modificación:
21/01/2025
Descripción
Computer Vision Annotation Tool (CVAT) es una herramienta interactiva de anotación de imágenes y videos para visión por computadora. CVAT permite a los usuarios proporcionar URL de endpoints personalizados para almacenamientos en la nube basados en Amazon S3 y Azure Blob Storage. A partir de la versión 2.1.0 y antes de la versión 2.14.3, un atacante con una cuenta CVAT puede aprovechar esta característica especificando URL cuya parte del host sea una dirección IP de intranet o un nombre de dominio interno. Al hacer esto, el atacante puede sondear la red en la que se ejecuta el backend CVAT en busca de servidores HTTP(S). Además, si hay un servidor web en esta red que es suficientemente compatible con API con un endpoint de Amazon S3 o Azure Blob Storage y permite el acceso anónimo o permite la autenticación con credenciales conocidas por el atacante, entonces el atacante puede poder crear un almacenamiento en la nube vinculado a este servidor. Luego podrán enumerar archivos en el servidor; extraer archivos del servidor, si estos archivos son de un tipo que CVAT admite la lectura desde el almacenamiento en la nube (datos multimedia (como imágenes/videos/archivos), anotaciones o conjuntos de datos importables, copias de seguridad de tareas/proyectos); y/o sobrescribir archivos en este servidor con anotaciones/conjuntos de datos/copias de seguridad exportados. Las capacidades exactas del atacante dependerán de cómo esté configurado el servidor interno. Los usuarios deben actualizar a CVAT 2.14.3 para recibir un parche. En esta versión, las medidas de mitigación SSRF existentes se aplican a las solicitudes a proveedores de nube, y el acceso a direcciones IP de intranet está prohibido de forma predeterminada. También hay algunas soluciones disponibles. Se pueden utilizar soluciones de seguridad de red, como redes virtuales o firewalls, para prohibir el acceso a la red desde el backend de CVAT a servidores no relacionados en su red interna y/o requerir autenticación para acceder a los servidores internos.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cvat:computer_vision_annotation_tool:*:*:*:*:*:*:*:* | 2.1.0 (incluyendo) | 2.14.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/cvat-ai/cvat/commit/f2346934c80bd91740f55c2788ef7d535a291d4c
- https://github.com/cvat-ai/cvat/security/advisories/GHSA-q684-4jjh-83g6
- https://github.com/cvat-ai/cvat/commit/f2346934c80bd91740f55c2788ef7d535a291d4c
- https://github.com/cvat-ai/cvat/security/advisories/GHSA-q684-4jjh-83g6