CVE-2025-49135

CVAT is an open source interactive video and image annotation tool for computer vision. Versions 2.2.0 through 2.39.0 have no validation during the import process of a project or task backup to check that the filename specified in the query parameter refers to a TUS-uploaded file belonging to the same user. As a result, if an attacker with a CVAT account and a `user` role knows the filenames of other users' uploads, they could potentially access and steal data by creating projects or tasks using those files. This issue does not affect annotation or dataset TUS uploads, since in this case object-specific temporary directories are used. Users should upgrade to CVAT 2.40.0 or a later version to receive a patch. No known workarounds are available.

CVSS v3 6.5 MEDIUM

6.5^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/cvat-ai/cvat/commit/dbafd9c0287489bea00e1db626f64b107f90bfc9	Patch
https://github.com/cvat-ai/cvat/security/advisories/GHSA-frpr-5w6q-hh4f	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:cvat:computer_vision_annotation_tool:*:*:*:*:*:*:*:*

History

15 Sep 2025, 15:12

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 6.5
CPE		cpe:2.3:a:cvat:computer_vision_annotation_tool::::::::
References	~~() https://github.com/cvat-ai/cvat/commit/dbafd9c0287489bea00e1db626f64b107f90bfc9 -~~	() https://github.com/cvat-ai/cvat/commit/dbafd9c0287489bea00e1db626f64b107f90bfc9 - Patch
References	~~() https://github.com/cvat-ai/cvat/security/advisories/GHSA-frpr-5w6q-hh4f -~~	() https://github.com/cvat-ai/cvat/security/advisories/GHSA-frpr-5w6q-hh4f - Vendor Advisory
First Time		Cvat computer Vision Annotation Tool Cvat

26 Jun 2025, 18:57

Type	Values Removed	Values Added
Summary		(es) CVAT es una herramienta interactiva de código abierto para la anotación de imágenes y videos para visión artificial. Las versiones 2.2.0 a 2.39.0 no incluyen validación durante la importación de copias de seguridad de proyectos o tareas para verificar que el nombre de archivo especificado en el parámetro de consulta se refiera a un archivo subido a TUS que pertenezca al mismo usuario. Por lo tanto, si un atacante con una cuenta CVAT y rol de usuario conoce los nombres de archivo de las cargas de otros usuarios, podría acceder y robar datos creando proyectos o tareas con esos archivos. Este problema no afecta las cargas de TUS de anotaciones ni de conjuntos de datos, ya que en este caso se utilizan directorios temporales específicos del objeto. Los usuarios deben actualizar a CVAT 2.40.0 o una versión posterior para recibir una actualización. No se conocen soluciones alternativas.

25 Jun 2025, 15:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-06-25 15:15

Updated : 2025-09-15 15:12

NVD link : CVE-2025-49135

Mitre link : CVE-2025-49135

CVE.ORG link : CVE-2025-49135

JSON object : View

Products Affected

cvat

computer_vision_annotation_tool

CWE

CWE-639

Authorization Bypass Through User-Controlled Key

6.5 /10