Plataforma
python
Componente
label-studio-sdk
Corrigido em
1.0.11
1.0.10
Uma vulnerabilidade de Path Traversal foi descoberta no label-studio-sdk, afetando versões anteriores à 1.0.10. Essa falha permite que atacantes acessem arquivos fora do diretório pretendido, comprometendo a segurança dos dados. Versões do Label Studio anteriores à 1.16.0 dependiam de versões do SDK anteriores à 1.0.10, sendo a versão 1.13.2.dev0 confirmada como vulnerável. A correção está disponível na versão 1.0.10.
A vulnerabilidade de Path Traversal no label-studio-sdk permite que um atacante explore as funções de exportação (VOC, COCO e YOLO) para acessar arquivos arbitrários no sistema de arquivos subjacente. Isso pode levar à exposição de informações confidenciais, como chaves de API, dados de treinamento de modelos de aprendizado de máquina ou outros dados sensíveis armazenados no servidor. Um atacante pode, potencialmente, ler arquivos de configuração, scripts de banco de dados ou até mesmo executar código malicioso se tiver permissão para escrever em arquivos executáveis. A extensão do impacto depende das permissões do usuário que executa o label-studio-sdk e da sensibilidade dos arquivos acessíveis.
A vulnerabilidade foi divulgada em 2025-02-14. Não há informações disponíveis sobre a adição a KEV ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do label-studio-sdk em ambientes de produção e da conscientização dos usuários sobre a vulnerabilidade.
Organizations using Label Studio for data annotation and labeling, particularly those processing sensitive data, are at risk. Shared hosting environments where Label Studio instances share the same file system are especially vulnerable, as a compromise of one instance could lead to access to data from other instances. Users relying on older Label Studio versions or those who have not applied security updates are also at increased risk.
• python / sdk: Check Label Studio SDK version using pip show label-studio-sdk.
• python / sdk: Monitor file system access logs for unusual activity from the Label Studio process, particularly attempts to access files outside the expected directories.
• generic web: Inspect Label Studio export endpoints for suspicious file path parameters using curl or wget.
• generic web: Review access and error logs for indications of path traversal attempts (e.g., requests containing ../ sequences).
disclosure
Status do Exploit
EPSS
0.13% (percentil 33%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o label-studio-sdk para a versão 1.0.10 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de exportação e monitorar o sistema de arquivos em busca de atividades suspeitas. Implementar regras de firewall ou proxy para bloquear o acesso não autorizado aos endpoints de exportação também pode ajudar. Verifique se as permissões de arquivo estão configuradas corretamente para limitar o acesso apenas aos usuários e processos autorizados. Após a atualização, confirme a correção verificando se as funções de exportação não permitem mais o acesso a arquivos fora do diretório pretendido.
Actualice la biblioteca label-studio-sdk a la versión 1.0.10 o superior. Esto corrige la vulnerabilidad de path traversal. Si está utilizando Label Studio, actualice a la versión 1.16.0 o posterior, ya que las versiones anteriores especificaban versiones vulnerables del SDK como dependencias.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-25295 is a Path Traversal vulnerability in Label Studio SDK versions prior to 1.0.10, allowing unauthorized file access. It's rated HIGH severity (CVSS 7.5).
You are affected if you are using Label Studio SDK versions ≤1.0.8 or Label Studio versions prior to 1.16.0.
Upgrade Label Studio to version 1.16.0 or later, which includes the patched SDK version 1.0.10. Restrict file system access permissions as a temporary workaround.
No active exploitation has been publicly reported, but the ease of exploitation makes it a significant risk.
Refer to the Label Studio release notes and security advisories on their official website for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.