CVAT电子邮件验证旁路漏洞CVE-2025-54573

CVAT（Computer Vision Annotation Tool）是一款基于Web计算机视觉注释工具，这是用于计算机视觉的开源交互式视频和图像注释工具。

一、基本情况

CVAT主要用于数字图像和视频的标注，平台支持对象检测、图像分类和图像分割等机器学习任务，是计算机视觉领域广泛使用的标注平台。

CVAT凭借便捷工具和强大的功能，提供多种标注类型，如框、多边形、折线、点、长方体等，具备自动注释、团队协作、任务管理等功能。

栋科技漏洞库关注到CVAT工具受影响版本存在易通过使用基本身份验证绕过电邮验证旁路漏洞，追踪为CVE-2025-54573，CVSS评分4.3。

二、漏洞分析

CVE-2025-54573漏洞是存在于CVAT工具的1.1.0到2.41.0版本中，漏洞的存在使得通过使用基本身份验证可以直接绕过电子邮件验证旁路。

CVAT受影响版本使用基本HTTP身份验证时未强制执行电子邮件验证，用户可以使用虚假邮件地址创建帐户并作为经验证用户使用该产品。

此外，缺少的电子邮件验证检查使系统对机器人注册和进一步使用开放，CVAT 2.42.0及更高版本包含该漏洞修复程序，建议尽快予以更新。

CVAT Enterprise客户有一个解决方法，那就是这些客户可以暂时禁用注册功能以防止该漏洞被攻击者利用。

三、影响范围

1.1.0 <= CVAT <= 2.41.0

四、修复建议

CVAT >= 2.42.0

五、参考链接

管理员已设置登录后刷新可查看