Vulnerabilidad en Computer Vision Annotation Tool (CVE-2024-37306)

Computer Vision Annotation Tool (CVAT) es una herramienta interactiva de anotación de imágenes y videos para visión por computadora. A partir de la versión 2.2.0 y antes de la versión 2.14.3, si un atacante puede engañar a un usuario CVAT que ha iniciado sesión para que visite una URL maliciosa, puede iniciar una exportación de conjunto de datos o una copia de seguridad de un proyecto, tarea o trabajo que la víctima haya realizado. El usuario tiene permiso para exportar a un almacenamiento en la nube al que el usuario víctima tiene acceso. El atacante puede elegir el nombre del archivo resultante. Esto implica que el atacante puede sobrescribir archivos arbitrarios en cualquier almacenamiento en la nube al que la víctima pueda acceder y, si el atacante tiene acceso de lectura al almacenamiento en la nube utilizado en el ataque, puede obtener archivos multimedia, anotaciones, configuraciones y otra información de cualquier proyecto, tareas o trabajos que la víctima tiene permiso para exportar. La versión 2.14.3 contiene una solución para el problema. No hay workarounds disponibles.