Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Computer Vision Annotation Tool (CVE-2025-23045)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
28/01/2025
Última modificación:
28/01/2025

Descripción

Computer Vision Annotation Tool (CVAT) es una herramienta interactiva de anotación de imágenes y videos para visión artificial. Un atacante con una cuenta en una instancia de CVAT afectada puede ejecutar código arbitrario en el contexto del contenedor de funciones Nuclio. Esta vulnerabilidad afecta a las implementaciones de CVAT que ejecutan cualquiera de las funciones sin servidor de tipo tracker desde el repositorio Git de CVAT, a saber, TransT y SiamMask. Las implementaciones con funciones personalizadas de tipo tracker también pueden verse afectadas, según cómo gestionan la serialización de estados. Si una función usa una librería de serialización insegura como pickle o jsonpickle, es probable que sea vulnerable. Actualice a CVAT 2.26.0 o posterior. Si no puede actualizar, apague todas las instancias de las funciones TransT o SiamMask que esté ejecutando.