Plateforme
python
Composant
label-studio-sdk
Corrigé dans
1.0.11
1.0.10
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans label-studio-sdk, affectant les versions inférieures ou égales à 1.0.8. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Les versions de Label Studio antérieures à 1.16.0 utilisaient des versions de SDK antérieures à 1.0.10, ce qui rend ces installations vulnérables. La mise à jour vers la version 1.0.10 ou supérieure du SDK est nécessaire pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers du serveur. Cela peut inclure des fichiers de configuration sensibles, des données utilisateur, ou même des fichiers système. Les fonctions d'exportation VOC, COCO et YOLO du SDK sont particulièrement vulnérables, car elles invoquent une fonction download qui ne valide pas correctement les chemins de fichiers. Un attaquant pourrait manipuler les paramètres d'exportation pour accéder à des fichiers en dehors du répertoire prévu, contournant ainsi les mesures de sécurité standard. L'impact potentiel est élevé, car un accès non autorisé aux données peut entraîner une perte de confidentialité, une modification de données, ou même une prise de contrôle du système.
Cette vulnérabilité a été rendue publique le 14 février 2025. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité de traversal de chemin et de la disponibilité potentielle de preuves de concept. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant ainsi le risque d'exploitation.
Organizations using Label Studio for data annotation and labeling, particularly those processing sensitive data, are at risk. Shared hosting environments where Label Studio instances share the same file system are especially vulnerable, as a compromise of one instance could lead to access to data from other instances. Users relying on older Label Studio versions or those who have not applied security updates are also at increased risk.
• python / sdk: Check Label Studio SDK version using pip show label-studio-sdk.
• python / sdk: Monitor file system access logs for unusual activity from the Label Studio process, particularly attempts to access files outside the expected directories.
• generic web: Inspect Label Studio export endpoints for suspicious file path parameters using curl or wget.
• generic web: Review access and error logs for indications of path traversal attempts (e.g., requests containing ../ sequences).
disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
La mitigation principale consiste à mettre à jour label-studio-sdk vers la version 1.0.10 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux fonctions d'exportation VOC, COCO et YOLO. Envisagez également de mettre en place des contrôles d'accès stricts sur le système de fichiers du serveur pour limiter l'impact potentiel d'une exploitation réussie. Il n'existe pas de correctif spécifique pour Label Studio inférieur à 1.16.0, la mise à jour vers cette version ou supérieure est impérative. Après la mise à jour, vérifiez l'intégrité des fichiers du SDK et assurez-vous qu'aucune modification non autorisée n'a été apportée.
Actualice la biblioteca label-studio-sdk a la versión 1.0.10 o superior. Esto corrige la vulnerabilidad de path traversal. Si está utilizando Label Studio, actualice a la versión 1.16.0 o posterior, ya que las versiones anteriores especificaban versiones vulnerables del SDK como dependencias.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25295 is a Path Traversal vulnerability in Label Studio SDK versions prior to 1.0.10, allowing unauthorized file access. It's rated HIGH severity (CVSS 7.5).
You are affected if you are using Label Studio SDK versions ≤1.0.8 or Label Studio versions prior to 1.16.0.
Upgrade Label Studio to version 1.16.0 or later, which includes the patched SDK version 1.0.10. Restrict file system access permissions as a temporary workaround.
No active exploitation has been publicly reported, but the ease of exploitation makes it a significant risk.
Refer to the Label Studio release notes and security advisories on their official website for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.