CVE-2023-47115

Versões do Label Studio anteriores à 1.9.2

O problema é uma vulnerabilidade de cross-site scripting (XSS) que pode ser explorada quando um usuário autenticado carrega um arquivo de imagem manipulado para seu avatar, que é renderizado como um arquivo HTML no site. Isso pode resultar em um invasor realizando ações maliciosas contra usuários do Label Studio caso eles visitem a imagem de avatar manipulada. Por exemplo, um invasor pode criar uma carga de JavaScript que adicione um novo usuário Superadministrador do Django se um administrador do Django visitar a imagem. A vulnerabilidade se deve ao uso da visualização serve integrada do Django, que determina o Content-Type da resposta pela extensão do arquivo no caminho da URL, e à falta de validação do lado do servidor da extensão do arquivo.

Para versões anteriores à 1.9.2, valide a extensão do arquivo no lado do servidor, e não no código do lado do cliente.

Remova o uso da visualização serve do Django e implemente um controlador seguro para visualizar imagens de avatar enviadas.

Considere salvar o conteúdo do arquivo no banco de dados em vez de no sistema de arquivos para mitigar outras vulnerabilidades relacionadas a arquivos.

Evite confiar em entradas controladas pelo usuário.

Atualize para a versão 1.9.2 ou posterior para corrigir o problema.