Plataforma
python
Componente
label-studio
Corregido en
1.16.1
1.16.0
La vulnerabilidad CVE-2025-25297 es una falla de Server-Side Request Forgery (SSRF) detectada en label-studio, específicamente en su integración con el almacenamiento S3. Esta falla permite a un atacante manipular la aplicación para que realice solicitudes HTTP a servicios internos, comprometiendo potencialmente la confidencialidad y la integridad de los datos. La vulnerabilidad afecta a las versiones de label-studio menores o iguales a 1.9.2.post0, y se corrige en la versión 1.16.0.
Un atacante puede explotar esta vulnerabilidad especificando una URL de punto final S3 arbitraria en la configuración de la conexión de almacenamiento S3. La aplicación, al utilizar la biblioteca boto3 de AWS, enviará solicitudes HTTP a la URL proporcionada sin una validación adecuada. Esto permite al atacante acceder a recursos internos que normalmente no estarían expuestos a la red externa. El impacto potencial incluye la lectura de datos confidenciales, la modificación de configuraciones internas, o incluso la ejecución de código en sistemas internos si se accede a endpoints vulnerables. Esta vulnerabilidad se asemeja a otros ataques SSRF que han afectado a diversas aplicaciones, permitiendo el acceso no autorizado a servicios internos.
La vulnerabilidad CVE-2025-25297 fue publicada el 14 de febrero de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera media, dado que la vulnerabilidad permite el acceso a recursos internos y no requiere autenticación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad SSRF sugiere que podrían desarrollarse rápidamente. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing Label Studio for data annotation and labeling, particularly those with sensitive internal services accessible via HTTP, are at risk. Environments with misconfigured S3 endpoints or insufficient network segmentation are especially vulnerable. Shared hosting environments running Label Studio should be carefully reviewed for potential exposure.
• python / server:
# Check for vulnerable Label Studio versions
ps aux | grep 'label-studio==[1.9.0-1.9.2.post0]' • generic web:
# Check for S3 endpoint configuration in Label Studio settings (if accessible)
curl -I http://<label-studio-host>/settings/storage | grep 's3_endpoint='disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-25297 es actualizar label-studio a la versión 1.16.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen restringir el acceso a la aplicación label-studio a una red interna segura, implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas, y revisar cuidadosamente la configuración de la integración de almacenamiento S3 para evitar la especificación de URLs no autorizadas. Además, se recomienda monitorear los registros de la aplicación en busca de patrones de tráfico inusuales que puedan indicar un intento de explotación. Después de la actualización, confirme la mitigación revisando la configuración de S3 y verificando que las solicitudes HTTP se realizan solo a los puntos finales autorizados.
Actualice Label Studio a la versión 1.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad SSRF. La actualización evitará que los atacantes exploten la vulnerabilidad para acceder a servicios internos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25297 es una vulnerabilidad SSRF en label-studio que permite a atacantes realizar solicitudes HTTP arbitrarias a servicios internos a través de la configuración de almacenamiento S3.
Sí, si está utilizando label-studio en una versión menor o igual a 1.9.2.post0 y ha habilitado la integración de almacenamiento S3, es vulnerable a esta falla.
La solución es actualizar label-studio a la versión 1.16.0 o superior. Si no puede actualizar inmediatamente, implemente medidas de mitigación como un WAF y restricciones de red.
Actualmente no se han reportado explotaciones activas, pero la naturaleza de la vulnerabilidad sugiere que podría ser explotada en el futuro.
Consulte el sitio web oficial de label-studio o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.