CVE-2026-58373
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Podatność w CVAT przed wersją 2.69.0 w klasie QualityReportViewSet.get_queryset umożliwia uwierzytelnionym atakującym enumerację identyfikatorów raportów jakości należących do innych organizacji. Brak wywołania check_object_permissions na parametrze parent_id w API raportów jakości pozwala na rozróżnienie istniejących i nieistniejących raportów poprzez odpowiedzi HTTP 500 i 404.
Ocena ryzyka
Ryzyko polega na ujawnieniu istnienia raportów jakości w innych organizacjach, co może prowadzić do wycieku informacji o projektach i danych wrażliwych. Atakujący mogą mapować strukturę organizacyjną bez dostępu do treści raportów.
Rekomendacja
Należy niezwłocznie zaktualizować CVAT do wersji 2.69.0 lub nowszej, która zawiera poprawkę usuwającą brak autoryzacji. W międzyczasie zaleca się ograniczenie dostępu do API raportów jakości tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
CVAT before 2.69.0 contains an improper authorization vulnerability in QualityReportViewSet.get_queryset that allows authenticated attackers to enumerate quality report identifiers belonging to other organizations by exploiting a missing check_object_permissions call on the parent_id query parameter of the quality reports API endpoint. Attackers can send requests with sequential integer parent_id values and distinguish between existing and non-existing reports via HTTP 500 versus HTTP 404 response differences, disclosing cross-organization report existence without returning report content.

