Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Label Studio (CVE-2024-23633)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/01/2024
Última modificación:
01/02/2024

Descripción

Label Studio, una herramienta de etiquetado de datos de código abierto, tenía una función de importación remota que permitía a los usuarios importar datos desde una fuente web remota, que se descargaba y se podía ver en el sitio web. Antes de la versión 1.10.1, se podía abusar de esta característica para descargar un archivo HTML que ejecutaba código JavaScript malicioso en el contexto del sitio web de Label Studio. La ejecución de JavaScript arbitrario podría provocar que un atacante realice acciones maliciosas en los usuarios de Label Studio si visitan la imagen de avatar creada. Por ejemplo, un atacante puede crear un payload de JavaScript que agregue un nuevo usuario de Superadministrador de Django si un administrador de Django visita la imagen. Las líneas 125C5 a 146 de `data_import/uploader.py` mostraban que si una URL pasaba las verificaciones de verificación de server side request forgery, el contenido del archivo se descargaría usando el nombre de archivo en la URL. La ruta del archivo descargado podría recuperarse enviando una solicitud a `/api/projects/{project_id}/file-uploads?ids=[{download_id}]` donde `{project_id}` era el ID del proyecto y `{ download_id}` era el ID del archivo descargado. Una vez que el endpoint API anterior recuperó la ruta del archivo descargado, las líneas `data_import/api.py` 595C1 a 616C62 demostraron que el `Content-Type` de la respuesta estaba determinado por la extensión del archivo, ya que `mimetypes.guess_type` adivina el `Tipo de contenido` basado en la extensión del archivo. Dado que el "Tipo de contenido" estaba determinado por la extensión del archivo descargado, un atacante podría importar un archivo ".html" que ejecutaría JavaScript cuando lo visitara. La versión 1.10.1 contiene un parche para este problema. También se encuentran disponibles otras estrategias de remediación. Para todos los archivos proporcionados por el usuario que Label Studio descarga, configure el encabezado de respuesta `Content-Security-Policy: sandbox;` cuando se vea en el sitio. La directiva `sandbox` restringe las acciones de una página para evitar ventanas emergentes, la ejecución de complementos y scripts y aplica una política de `mismo origen`. Alternativamente, restrinja las extensiones de archivos permitidas que se pueden descargar.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:humansignal:label_studio:*:*:*:*:*:*:*:* 1.10.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información