Plataforma
python
Componente
label-studio-sdk
Corregido en
1.0.11
1.0.10
Se ha descubierto una vulnerabilidad de Path Traversal en label-studio-sdk versiones anteriores a 1.0.10. Esta falla permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo la integridad y confidencialidad de los datos. La vulnerabilidad afecta a las versiones de Label Studio anteriores a 1.16.0, especialmente a la versión 1.13.2.dev0. Se recomienda actualizar a la versión 1.0.10 o superior para mitigar el riesgo.
La vulnerabilidad de Path Traversal en label-studio-sdk permite a un atacante leer archivos arbitrarios en el sistema de archivos del servidor donde se ejecuta la aplicación. Esto podría incluir archivos de configuración, claves API, datos de usuario o cualquier otro archivo al que la aplicación tenga acceso. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, modificar archivos o incluso ejecutar código malicioso en el servidor. El impacto es significativo, ya que la exposición de datos sensibles puede resultar en graves consecuencias para la privacidad y la seguridad de la organización. La explotación exitosa podría permitir el acceso a datos de entrenamiento, modelos de machine learning y metadatos asociados, comprometiendo la integridad de los proyectos de etiquetado.
La vulnerabilidad CVE-2025-25295 fue publicada el 14 de febrero de 2025. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para los atacantes. La falta de una mitigación adecuada en versiones anteriores de Label Studio podría exponer a los usuarios a un riesgo significativo.
Organizations using Label Studio for data annotation and labeling, particularly those processing sensitive data, are at risk. Shared hosting environments where Label Studio instances share the same file system are especially vulnerable, as a compromise of one instance could lead to access to data from other instances. Users relying on older Label Studio versions or those who have not applied security updates are also at increased risk.
• python / sdk: Check Label Studio SDK version using pip show label-studio-sdk.
• python / sdk: Monitor file system access logs for unusual activity from the Label Studio process, particularly attempts to access files outside the expected directories.
• generic web: Inspect Label Studio export endpoints for suspicious file path parameters using curl or wget.
• generic web: Review access and error logs for indications of path traversal attempts (e.g., requests containing ../ sequences).
disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar label-studio-sdk a la versión 1.0.10 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior estable antes de aplicar la actualización. Implemente reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes que contengan caracteres de path traversal (por ejemplo, '..'). Revise y restrinja los permisos de acceso a los archivos y directorios en el servidor para limitar el impacto de una posible explotación. Monitoree los registros del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación.
Actualice la biblioteca label-studio-sdk a la versión 1.0.10 o superior. Esto corrige la vulnerabilidad de path traversal. Si está utilizando Label Studio, actualice a la versión 1.16.0 o posterior, ya que las versiones anteriores especificaban versiones vulnerables del SDK como dependencias.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25295 is a Path Traversal vulnerability in Label Studio SDK versions prior to 1.0.10, allowing unauthorized file access. It's rated HIGH severity (CVSS 7.5).
You are affected if you are using Label Studio SDK versions ≤1.0.8 or Label Studio versions prior to 1.16.0.
Upgrade Label Studio to version 1.16.0 or later, which includes the patched SDK version 1.0.10. Restrict file system access permissions as a temporary workaround.
No active exploitation has been publicly reported, but the ease of exploitation makes it a significant risk.
Refer to the Label Studio release notes and security advisories on their official website for the most up-to-date information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.