一、 漏洞 CVE-2025-54573 基础信息
漏洞信息
# CVAT 邮箱验证绕过漏洞
## 概述
CVAT 是一个开源的交互式视频和图像标注工具,用于计算机视觉任务。在特定版本中,存在一个安全漏洞,影响账户验证流程。
## 影响版本
- 受影响版本:1.1.0 至 2.41.0
## 细节
- 使用 Basic HTTP Authentication 时,系统未强制执行邮箱验证。
- 攻击者可借此通过伪造邮箱注册账户,并以“已验证”用户身份使用系统。
- 缺少邮箱验证机制也使系统容易受到机器人批量注册的攻击。
## 影响
- 用户身份真实性无法保证。
- 增加未授权访问和恶意注册的风险。
## 解决方案
- 官方已在版本 2.42.0 及后续版本中修复该问题。
- CVAT Enterprise 用户可暂时禁用注册功能以缓解风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CVAT vulnerable to email verification bypass by use of basic authentication
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CVAT is an open source interactive video and image annotation tool for computer vision. In versions 1.1.0 through 2.41.0, email verification was not enforced when using Basic HTTP Authentication. As a result, users could create accounts using fake email addresses and use the product as verified users. Additionally, the missing email verification check leaves the system open to bot signups and further usage. CVAT 2.42.0 and later versions contain a fix for the issue. CVAT Enterprise customers have a workaround available; those customers may disable registration to prevent this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
CVAT.ai CVAT 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CVAT.ai CVAT是CVAT.ai开源的一个数据处理工具。 CVAT.ai CVAT 1.1.0至2.41.0版本存在授权问题漏洞,该漏洞源于未强制进行电子邮件验证,可能导致使用虚假电子邮件地址创建账户和机器人注册。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54573 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54573 的情报信息
-
标题: Email verification bypass by use of basic authentication · Advisory · cvat-ai/cvat · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-54573
四、漏洞 CVE-2025-54573 的评论
暂无评论