プラットフォーム
python
コンポーネント
label-studio-sdk
修正版
1.0.11
1.0.10
CVE-2025-25295 は、label-studio-sdk のパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は意図されたディレクトリ構造外のファイルに不正にアクセスできる可能性があります。影響を受けるバージョンは label-studio-sdk 1.0.8 以前です。Label Studio ユーザーは、1.16.0 以降にアップグレードすることでこの問題を解決できます。
このパストラバーサル脆弱性は、攻撃者が label-studio-sdk が処理するファイルシステム内の任意の場所にアクセスすることを可能にします。特に、VOC、COCO、YOLO エクスポート機能が影響を受けます。攻撃者は、機密データ(認証情報、API キー、個人情報など)を含むファイルを読み取ったり、システムファイルを改ざんしたりする可能性があります。この脆弱性の影響範囲は、label-studio-sdk を使用するすべてのシステムに及び、機密情報の漏洩やシステムの完全性の低下につながる可能性があります。Label Studio のバージョン 1.13.2.dev0 で確認されており、他のバージョンでも同様の脆弱性が存在する可能性があります。
この脆弱性は、2025年2月14日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であり、今後悪用される可能性はあります。CISA KEV カタログへの登録状況は不明です。
Organizations using Label Studio for data annotation and labeling, particularly those processing sensitive data, are at risk. Shared hosting environments where Label Studio instances share the same file system are especially vulnerable, as a compromise of one instance could lead to access to data from other instances. Users relying on older Label Studio versions or those who have not applied security updates are also at increased risk.
• python / sdk: Check Label Studio SDK version using pip show label-studio-sdk.
• python / sdk: Monitor file system access logs for unusual activity from the Label Studio process, particularly attempts to access files outside the expected directories.
• generic web: Inspect Label Studio export endpoints for suspicious file path parameters using curl or wget.
• generic web: Review access and error logs for indications of path traversal attempts (e.g., requests containing ../ sequences).
disclosure
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CISA SSVC
この脆弱性への最善の対応は、label-studio-sdk をバージョン 1.0.10 以降にアップグレードすることです。Label Studio を使用している場合は、Label Studio をバージョン 1.16.0 以降にアップグレードしてください。アップグレードが一時的にシステムに影響を与える場合は、以前のバージョンへのロールバックを検討してください。WAF (Web Application Firewall) を使用している場合は、不正なファイルパスへのアクセスをブロックするルールを追加することを検討してください。Label Studio の設定を慎重に確認し、不要なファイルアクセスを制限してください。
Actualice la biblioteca label-studio-sdk a la versión 1.0.10 o superior. Esto corrige la vulnerabilidad de path traversal. Si está utilizando Label Studio, actualice a la versión 1.16.0 o posterior, ya que las versiones anteriores especificaban versiones vulnerables del SDK como dependencias.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-25295 は、label-studio-sdk のバージョン 1.0.8 以前に存在するパストラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、意図されたディレクトリ構造外のファイルにアクセスできる可能性があります。
はい、label-studio-sdk のバージョン 1.0.8 以前を使用している場合は、CVE-2025-25295 に影響を受けます。Label Studio ユーザーは、Label Studio をバージョン 1.16.0 以降にアップグレードする必要があります。
CVE-2025-25295 を修正するには、label-studio-sdk をバージョン 1.0.10 以降にアップグレードしてください。Label Studio を使用している場合は、Label Studio をバージョン 1.16.0 以降にアップグレードしてください。
現時点では、CVE-2025-25295 を悪用する公開されている PoC は確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であり、今後悪用される可能性はあります。
label-studio の公式アドバイザリは、[https://labelstud.io/blog/security-update-2025-02-14](https://labelstud.io/blog/security-update-2025-02-14) で確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。