Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en CVAT (CVE-2025-54573)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
30/07/2025
Última modificación:
31/07/2025

Descripción

CVAT es una herramienta interactiva de código abierto para la anotación de imágenes y videos para visión artificial. En las versiones 1.1.0 a 2.41.0, la verificación de correo electrónico no se aplicaba al usar la autenticación HTTP básica. Como resultado, los usuarios podían crear cuentas con direcciones de correo electrónico falsas y usar el producto como usuarios verificados. Además, la falta de verificación de correo electrónico deja el sistema expuesto a registros de bots y a otros usos. CVAT 2.42.0 y versiones posteriores incluyen una solución para este problema. Los clientes de CVAT Enterprise tienen una solución alternativa; pueden desactivar el registro para evitar este problema.