CVE-2024-23633

Versões do Label Studio anteriores à 1.10.1

O recurso de importação remota do Label Studio permitia que os usuários importassem dados de uma fonte web remota, o que poderia ser explorado para baixar um arquivo HTML que executasse código JavaScript malicioso no contexto do site do Label Studio. Isso poderia resultar em um invasor realizando ações maliciosas contra usuários do Label Studio caso eles visitassem a imagem de avatar criada para esse fim. Por exemplo, um invasor pode criar uma carga de JavaScript que adicione um novo usuário Superadministrador do Django se um administrador do Django visitar a imagem. O Content-Type da resposta era determinado pela extensão do arquivo, uma vez que mimetypes.guess type adivinha o Content-Type com base na extensão do arquivo. Um invasor poderia importar um arquivo .html que executaria JavaScript ao ser visitado. O endpoint da API /api/projects/{project id}/file-uploads?ids=[{download id}] era usado para recuperar o caminho do arquivo baixado.

Para todos os arquivos fornecidos pelo usuário que são baixados pelo Label Studio, defina o cabeçalho de resposta Content-Security-Policy: sandbox; quando visualizados no site.

Restrinja as extensões de arquivo permitidas que podem ser baixadas.

Atualize para a versão 1.10.1 ou posterior, que contém um patch para este problema.