CVE-2025-25295

Nome do Software Vulnerável e Versões Afetadas: Versões do Label Studio anteriores à 1.16.0 Versões do Label Studio SDK anteriores à 1.0.10

Descrição: Uma vulnerabilidade de traversia de caminho no Label Studio SDK permite acesso não autorizado a arquivos fora da estrutura de diretórios pretendida. A falha reside nas funcionalidades de exportação VOC, COCO e YOLO, que invocam uma função download no pacote Python label-studio-sdk que falha ao validar caminhos de arquivos ao processar referências de imagem durante exportações de tarefas. Ao criar tarefas com sequências de traversia de caminho no campo de imagem, um atacante pode forçar o aplicativo a ler arquivos de locais arbitrários do sistema de arquivos do servidor ao exportar projetos em qualquer um dos formatos mencionados. Esta é uma vulnerabilidade que requer autenticação, permitindo a leitura arbitrária de arquivos do sistema de arquivos do servidor, potencialmente expondo informações sensíveis como arquivos de configuração, credenciais e dados confidenciais.

Recomendações: Para mitigar este problema, os usuários do Label Studio devem atualizar para a versão 1.16.0 ou superior. Como solução temporária, considere validar e sanitizar caminhos de arquivos, adicionar uma lista de permitidos de diretórios e tipos de arquivos, implementar controles de acesso a arquivos e usar nomes de arquivos aleatórios e abstração de armazenamento de arquivos segura. Restrinja o acesso à função vulnerável download no pacote Python label-studio-sdk para minimizar o risco de exploração. Evite usar o campo image no endpoint da API afetado até que o problema seja resolvido.