CVE-2024-37306

CVAT's export and backup-related API endpoints are susceptible to CSRF

Severity Score

7.1

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Track

*SSVC

Descriptions

Computer Vision Annotation Tool (CVAT) is an interactive video and image annotation tool for computer vision. Starting in version 2.2.0 and prior to version 2.14.3, if an attacker can trick a logged-in CVAT user into visiting a malicious URL, they can initiate a dataset export or a backup from a project, task or job that the victim user has permission to export into a cloud storage that the victim user has access to. The name of the resulting file can be chosen by the attacker. This implies that the attacker can overwrite arbitrary files in any cloud storage that the victim can access and, if the attacker has read access to the cloud storage used in the attack, they can obtain media files, annotations, settings and other information from any projects, tasks or jobs that the victim has permission to export. Version 2.14.3 contains a fix for the issue. No known workarounds are available.

Computer Vision Annotation Tool (CVAT) es una herramienta interactiva de anotación de imágenes y videos para visión por computadora. A partir de la versión 2.2.0 y antes de la versión 2.14.3, si un atacante puede engañar a un usuario CVAT que ha iniciado sesión para que visite una URL maliciosa, puede iniciar una exportación de conjunto de datos o una copia de seguridad de un proyecto, tarea o trabajo que la víctima haya realizado. El usuario tiene permiso para exportar a un almacenamiento en la nube al que el usuario víctima tiene acceso. El atacante puede elegir el nombre del archivo resultante. Esto implica que el atacante puede sobrescribir archivos arbitrarios en cualquier almacenamiento en la nube al que la víctima pueda acceder y, si el atacante tiene acceso de lectura al almacenamiento en la nube utilizado en el ataque, puede obtener archivos multimedia, anotaciones, configuraciones y otra información de cualquier proyecto, tareas o trabajos que la víctima tiene permiso para exportar. La versión 2.14.3 contiene una solución para el problema. No hay workarounds disponibles.

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

Required

Scope

Unchanged

Confidentiality

High

Integrity

Low

Availability

None

Attack Vector

Network

Attack Complexity

Low

Authentication

None

Confidentiality

Complete

Integrity

Partial

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:Track

Exploitation

None

Automatable

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-06-05 CVE Reserved
2024-06-13 CVE Published
2024-08-02 CVE Updated
2025-01-22 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-352: Cross-Site Request Forgery (CSRF)

CAPEC

References (2)

URL	Tag	Source
https://github.com/cvat-ai/cvat/commit/5d36d10e493d92e893d7eae595544bcbe9cce1ce	X_refsource_misc
https://github.com/cvat-ai/cvat/security/advisories/GHSA-jpf9-646h-4px7	X_refsource_confirm

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Cvat-ai Search vendor "Cvat-ai"		Cvat Search vendor "Cvat-ai" for product "Cvat"				>= 2.2.0 < 2.14.3 Search vendor "Cvat-ai" for product "Cvat" and version " >= 2.2.0 < 2.14.3"		en		Affected