Een recent ontdekte kwetsbaarheid in CVAT (CVE-2025-54573) stelt aanvallers in staat om accounts te creëren met nep-e-mailadressen door het ontbreken van e-mailverificatie. Dit probleem doet zich voor in versies 1.1.0 tot 2.41.0 van het systeem en kan leiden tot ongewenste activiteiten en bots op uw systeem.
De fout bevindt zich in de authenticatieprocedure, waarbij gebruikers niet hoeven te verifiëren via e-mail bij gebruik van Basic HTTP Authentication. Dit levert een potentieel gevaar voor uw netwerkbeveiliging op.
Overzicht
CVAT is een open-source tool voor het annoteren van video’s en beelden in computer vision-projecten. De kwetsbaarheid bevindt zich in versies 1.1.0 tot 2.41.0, waar e-mailverificatie bij basisauthenticatie niet werd afgedwongen. Hierdoor kunnen kwaadwillenden accounts registreren met willekeurige of ongeldige e-mailadressen en toegang hebben alsof ze geverifieerde gebruikers zijn.
Aanbevelingen
- Update uw CVAT-installatie naar versie 2.42.0 of nieuwer om de kwetsbaarheid te verhelpen.
- Voor CVAT Enterprise-klanten: overweeg om de registratie tijdelijk uit te schakelen als tijdelijke maatregel.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54573?
Het is een kwetsbaarheid in CVAT die het mogelijk maakt om zonder e-mailverificatie nieuwe accounts aan te maken met Basic HTTP Authentication.
Welke systemen zijn kwetsbaar voor CVE-2025-54573?
Versies van CVAT tussen 1.1.0 en 2.41.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 2.42.0 van CVAT bevat een patch die het probleem oplost.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan accountcreatie omzeilen en zich als een geverifieerde gebruiker voordoen zonder effectieve e-mailverificatie.
