प्लेटफ़ॉर्म
python
घटक
label-studio-sdk
में ठीक किया गया
1.0.11
1.0.10
लेबल स्टूडियो SDK में एक पथ पारगमन भेद्यता मौजूद है, जो संस्करण 1.0.8 से पहले के संस्करणों में पाई गई है। यह भेद्यता हमलावरों को इच्छित निर्देशिका संरचना के बाहर फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। Label Studio के संस्करण 1.13.2.dev0 में यह समस्या पुष्टि की गई है, और Label Studio उपयोगकर्ताओं को इसे कम करने के लिए संस्करण 1.16.0 या बाद के संस्करण में अपग्रेड करने की सलाह दी जाती है। VOC, COCO और YOLO निर्यात कार्यात्मकताओं में यह दोष मौजूद है।
यह भेद्यता हमलावरों को लेबल स्टूडियो SDK द्वारा प्रबंधित फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलों या अन्य महत्वपूर्ण संसाधनों को पढ़ या संशोधित कर सकते हैं। यह भेद्यता सिस्टम की सुरक्षा को खतरे में डाल सकती है और डेटा उल्लंघन का कारण बन सकती है। विशेष रूप से, VOC, COCO और YOLO निर्यात कार्यों में पथ सत्यापन की कमी के कारण यह भेद्यता उत्पन्न होती है, जिससे हमलावर निर्देशिका संरचना के बाहर फ़ाइलों तक पहुंचने के लिए पथों को हेरफेर कर सकते हैं।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है। NVD और CISA ने इस CVE के बारे में जानकारी प्रकाशित की है। इस भेद्यता का शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं।
Organizations using Label Studio for data annotation and labeling, particularly those processing sensitive data, are at risk. Shared hosting environments where Label Studio instances share the same file system are especially vulnerable, as a compromise of one instance could lead to access to data from other instances. Users relying on older Label Studio versions or those who have not applied security updates are also at increased risk.
• python / sdk: Check Label Studio SDK version using pip show label-studio-sdk.
• python / sdk: Monitor file system access logs for unusual activity from the Label Studio process, particularly attempts to access files outside the expected directories.
• generic web: Inspect Label Studio export endpoints for suspicious file path parameters using curl or wget.
• generic web: Review access and error logs for indications of path traversal attempts (e.g., requests containing ../ sequences).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, लेबल स्टूडियो SDK को संस्करण 1.0.10 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल एक्सेस को सीमित करने और अनधिकृत पहुंच को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और फ़ाइल पथ सैनिटाइजेशन को लागू करने से भेद्यता के जोखिम को कम करने में मदद मिल सकती है। सुनिश्चित करें कि लेबल स्टूडियो इंस्टॉलेशन में उचित फ़ाइल अनुमतियाँ सेट हैं। अपग्रेड के बाद, फ़ाइल एक्सेस को सत्यापित करके और यह सुनिश्चित करके कि अनधिकृत फ़ाइलें अब एक्सेस नहीं की जा सकती हैं, यह पुष्टि करें।
Actualice la biblioteca label-studio-sdk a la versión 1.0.10 o superior. Esto corrige la vulnerabilidad de path traversal. Si está utilizando Label Studio, actualice a la versión 1.16.0 o posterior, ya que las versiones anteriores especificaban versiones vulnerables del SDK como dependencias.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-25295 label-studio-sdk में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइल एक्सेस की अनुमति देती है।
यदि आप label-studio-sdk के संस्करण 1.0.8 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
label-studio-sdk को संस्करण 1.0.10 या बाद के संस्करण में अपग्रेड करें।
अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है।
कृपया लेबल स्टूडियो की वेबसाइट या संबंधित सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।