一、 漏洞 CVE-2024-47064 基础信息
漏洞标题
CVAT多重跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
计算机视觉标注工具(CVAT)是一个用于计算机视觉的交互式视频和图像标注工具。如果攻击者可以使已登录的CVAT用户访问一个恶意构造的URL,他们可以在该用户的身份下发起任意API调用。这将使攻击者临时访问受害用户可以访问的所有数据。请升级至CVAT 2.19.0或更高版本以修复此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过用户控制密钥绕过授权机制
来源:AIGC 神龙大模型
漏洞标题
Computer Vision Annotation Tool (CVAT) contains a reflected XSS via request endpoints
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Computer Vision Annotation Tool (CVAT) is an interactive video and image annotation tool for computer vision. If an attacker can trick a logged-in CVAT user into visiting a maliciously-constructed URL, they can initiate any API calls on that user's behalf. This gives the attacker temporary access to all data that the victim user has access to. Upgrade to CVAT 2.19.0 or a later version to fix this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Computer Vision Annotation Tool 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Computer Vision Annotation Tool(CVAT)是cvat.ai开源的一种用于计算机视觉的交互式视频和图像注释工具。 Computer Vision Annotation Tool(CVAT) 2.16.0版本至2.18.0版本存在安全漏洞,该漏洞源于如果攻击者可以诱骗已登录的用户访问恶意构造的URL,他们就可以代表该用户发起任何API调用。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47064 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-47064 的情报信息
-
标题: Reflected XSS via request endpoints · Advisory · cvat-ai/cvat · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2024-47064