漏洞概述
CVAT 是一个开源的交互式视频和图像标注工具,广泛用于计算机视觉任务。在版本 2.2.0 至 2.54.0 中存在一个跨站脚本(XSS)漏洞,攻击者可通过构造恶意标签或 SVG 图像,在受害者用户访问或编辑相关内容时执行任意 JavaScript 代码,从而临时获取受害者在 CVAT 系统中的全部访问权限。该漏洞已在版本 2.55.0 中修复。
漏洞详情
- CVE 编号:CVE-2026-23516
- 漏洞类型:跨站脚本(XSS)(CWE-83)
- CVSS 评分:8.6(HIGH)
- 影响版本:CVAT 2.2.0 至 2.54.0
影响范围
所有使用 CVAT 版本 2.2.0 至 2.54.0 的系统均受影响,尤其是允许用户创建或编辑标注任务、项目或上传 SVG 图像的部署环境。
风险分析
攻击者可利用此漏洞在受害者浏览器中执行任意 JavaScript 代码,从而窃取会话 Cookie、篡改标注数据、冒充用户操作,甚至访问受害者在 CVAT 中拥有的所有资源。由于攻击仅需受害者被动查看或编辑恶意内容(UI:P – 被动用户交互),攻击门槛较低,潜在危害较大。
修复建议
- 立即升级 CVAT 至 2.55.0 或更高版本,该版本已修复此 XSS 漏洞。
- 在无法立即升级的情况下,应限制非可信用户创建或编辑标签及上传 SVG 文件的权限,并对用户输入内容进行严格过滤与转义。
