漏洞概述
CVAT 是一个开源的交互式视频和图像标注工具,广泛用于计算机视觉任务。在版本 1.0.0 至 2.54.0 中存在一个权限提升漏洞,具有 staff 状态的用户可自由修改自身权限,包括授予自己超级用户(superuser)权限并加入管理员组,从而获得对 CVAT 实例中所有数据的完全访问权限。该问题已在版本 2.55.0 中修复。
漏洞详情
- CVE 编号:CVE-2026-23526
- 漏洞类型:权限提升(CWE-267: Privilege Defined With Unsafe Actions)
- CVSS 评分:8.5(HIGH)
- 影响版本:CVAT 1.0.0 至 2.54.0
影响范围
所有使用 CVAT 版本 1.0.0 至 2.54.0 的部署实例均受影响,特别是那些启用了 staff 用户角色且未严格限制其权限的环境。
风险分析
攻击者若已获得具有 staff 状态的账户(即使无管理员权限),即可利用此漏洞将自身权限提升至超级用户级别,进而完全控制 CVAT 实例中的所有数据,包括查看、修改或删除敏感标注信息,造成严重的数据泄露与完整性破坏风险。
修复建议
- 立即升级至 CVAT 2.55.0 或更高版本,该版本已修复此漏洞。
- 作为临时缓解措施,请审查所有具有 staff 状态的用户,撤销非必要用户的 staff 权限,确保仅受信任的管理员保留该角色。
