JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-003960 CVATはコンピュータービジョン向けのオープンソースのインタラクティブな動画および画像アノテーションツールです。バージョン1.0.0から2.54.0までの間、スタッフステータスを持つユーザーは自分の権限を自由に変更でき、スーパーユーザーステータスを自分に付与したり、管理者グループに参加したりすることが可能でした。これにより、CVATインスタンス内のデータへ完全にアクセスできる危険がありました。バージョン2.55.0でこの問題は修正されています。回避策としては、スタッフステータスを持つユーザーのリストを確認し、スーパーユーザー権限を持つことが想定されていないユーザーからスタッフステータスを取り消してください。 cpe:/a:cvat:cvat https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-003960.html Common Vulnerabilities and Exposures (CVE) CVE-2026-23526 https://www.cve.org/CVERecord?id=CVE-2026-23526 National Vulnerability Database (NVD) CVE-2026-23526 https://nvd.nist.gov/vuln/detail/CVE-2026-23526 GitHub Advisory Database Privilege escalation of users with staff status Advisory cvat-ai/cvat GitHub https://github.com/cvat-ai/cvat/security/advisories/GHSA-7pvv-w55f-qmw7 JVNDB CWE-267 https://cwe.mitre.org/data/definitions/267.html 関連文書 Merge commit from fork cvat-ai/cvat@88ac7aa GitHub https://github.com/cvat-ai/cvat/commit/88ac7aa4d5b52271a30f1aa387c0f5745f8f77d4 2026-02-19T15:25:51+09:00 2026-02-19T15:25:51+09:00