计算机视觉标注工具（CVAT）漏洞CVE-2025-23045

CVAT的全称为计算机视觉标注工具，是一款专门为图像和视频注释而设计的开源工具，即用于计算机视觉的交互式视频和图像标注工具。

计算机视觉标注工具（CVAT）软件支持多种注释方式，包括矩形框、多边形框、点、线条等，方便用户对图像中的目标进行定位和标注。

一、基本情况

CVAT基于Web技术构建，无需安装任何客户端，只需在浏览器访问网址即可使用，采用一系列加密和安全措施，确保用户数据的安全性。

CVAT软件提供丰富标签管理功能，允许用户自定义标签，并对标注结果进行分类管理，支持物体检测、目标跟踪等传统计算机视觉任务。

栋科技漏洞库关注到计算机视觉标注工具（CVAT）中通过跟踪器Nuclio函数执行远程代码漏洞，追踪CVE-2025-23045，CVSS评分8.7。

二、漏洞分析

CVE-2025-23045漏洞是计算机视觉标注工具（CVAT）中存在一个高危漏洞，漏洞存在可导致允许通过跟踪器Nuclio函数执行远程代码。

漏洞影响运行CVAT Git仓库中的无服务器类型跟踪器函数的部署特别是TransT和SiamMask，自定义类型跟踪器函数部署也可能受到影响。

但需要注意的是其具体取决于它们如何处理状态序列化，如果函数使用不安全的序列化库（如pickle或jsonpickle），则很可能存在漏洞。

具体来说，攻击者在受影响的CVAT实例上拥有账户，能够在Nuclio函数容器的上下文中运行任意代码，请升级到CVAT 2.26.0或更高版本。

若一个函数使用不安全的序列化库，例如pickleOR jsonpickle，则可能是脆弱的，具体影响CVAT1.1.0-2.25.0，建议受影响用户尽快升级。

如果您无法升级，请关闭您正在运行的Transt或Siammask功能的任何实例：

nuctl delete function pth-dschoerk-transt
nuctl delete function pth-foolwood-siammask

如果您正在运行任何自定义跟踪器功能，请确保那些功能中负责恢复跟踪状态的代码与恶意输入相比是安全的。

三、影响范围

1.1.0 <= CVAT <= 2.25.0

四、修复建议

CVAT组件 >= 2.26.0

五、参考链接

此处内容已隐藏，评论后刷新即可查看！