CVE-2025-25296

Nome do Software Vulnerável e Versões Afetadas: Versões do Label Studio anteriores à 1.16.0

Descrição: A falha permite a injeção de HTML arbitrário através de uma requisição GET com um parâmetro de query label config devidamente manipulado no endpoint /projects/upload-example. Isso possibilita Cross-Site Scripting (XSS) ao renderizar conteúdo HTML fornecido pelo usuário sem a devida sanitização. Embora a aplicação possua uma Política de Segurança de Conteúdo (CSP), ela é ineficaz na prevenção da execução de scripts porque está configurada em modo apenas de relatório. A vulnerabilidade pode ser explorada levando vítimas a visitar uma URL maliciosamente construída, permitindo potencialmente o roubo de dados sensíveis, sequestro de sessão ou outras ações maliciosas.

Recomendações: Para versões anteriores à 1.16.0, atualize para a versão 1.16.0 ou posterior para resolver o problema. Como solução temporária, considere habilitar a Política de Segurança de Conteúdo em modo de imposição em vez do modo apenas de relatório para bloquear ativamente a execução de scripts não autorizados. Restrinja o acesso ao endpoint /projects/upload-example para minimizar o risco de exploração. Evite usar o parâmetro de query label config no endpoint de API afetado até que o problema seja resolvido.