Katalog CVE

CVE-2026-58373

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność w CVAT przed wersją 2.69.0 w klasie QualityReportViewSet.get_queryset umożliwia uwierzytelnionym atakującym enumerację identyfikatorów raportów jakości należących do innych organizacji. Brak wywołania check_object_permissions na parametrze parent_id w API raportów jakości pozwala na rozróżnienie istniejących i nieistniejących raportów poprzez odpowiedzi HTTP 500 i 404.

Ocena ryzyka

Ryzyko polega na ujawnieniu istnienia raportów jakości w innych organizacjach, co może prowadzić do wycieku informacji o projektach i danych wrażliwych. Atakujący mogą mapować strukturę organizacyjną bez dostępu do treści raportów.

Rekomendacja

Należy niezwłocznie zaktualizować CVAT do wersji 2.69.0 lub nowszej, która zawiera poprawkę usuwającą brak autoryzacji. W międzyczasie zaleca się ograniczenie dostępu do API raportów jakości tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

CVAT before 2.69.0 contains an improper authorization vulnerability in QualityReportViewSet.get_queryset that allows authenticated attackers to enumerate quality report identifiers belonging to other organizations by exploiting a missing check_object_permissions call on the parent_id query parameter of the quality reports API endpoint. Attackers can send requests with sequential integer parent_id values and distinguish between existing and non-existing reports via HTTP 500 versus HTTP 404 response differences, disclosing cross-organization report existence without returning report content.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS