Vulnerabilidad en Label Studio (CVE-2025-25296)

Label Studio es una herramienta de etiquetado de datos de código abierto. Antes de la versión 1.16.0, el punto de conexión `/projects/upload-example` de Label Studio permite la inyección de HTML arbitrario a través de una solicitud `GET` con un parámetro de consulta `label_config` manipulado de forma adecuada. Al manipular una configuración de etiqueta XML con un formato especial con datos de tareas en línea que contienen HTML/JavaScript malicioso, un atacante puede lograr Cross-Site Scripting (XSS). Si bien la aplicación tiene una Política de seguridad de contenido (CSP), solo está configurada en modo de solo informes, lo que la hace ineficaz para evitar la ejecución de scripts. La vulnerabilidad existe porque el punto de conexión upload-example muestra contenido HTML proporcionado por el usuario sin la depuración adecuada en una solicitud GET. Esto permite a los atacantes inyectar y ejecutar JavaScript arbitrario en los navegadores de las víctimas al hacer que visiten una URL manipulada de forma maliciosa. Esto se considera vulnerable porque permite a los atacantes ejecutar JavaScript en los contextos de las víctimas, lo que potencialmente permite el robo de datos confidenciales, el secuestro de sesiones u otras acciones maliciosas. La versión 1.16.0 contiene un parche para el problema.