Label Studio 数据导入 XSS 漏洞 (CVE-2024-23633)
CVE编号
CVE-2024-23633利用情况
暂无补丁情况
N/A披露时间
2024-01-24漏洞描述
Label Studio 是一个开源的数据标注工具,有一个远程导入功能允许用户从远程网络源导入数据,这些数据会被下载并且可以在网站上查看。在版本 1.10.1 之前,这个功能存在滥用的可能性,允许下载一个包含恶意 JavaScript 代码的 HTML 文件,并在 Label Studio 网站的上下文中执行。执行任意 JavaScript 可能导致攻击者在访问精心制作的头像图片时对 Label Studio 用户进行恶意操作。例如,攻击者可以精心制作一个 JavaScript 有效负载,在 Django 管理员访问该图片时添加一个新的 Django 超级管理员用户。 data_import/uploader.py 的 125C5 到 146 行显示,如果一个 URL 通过了服务器端请求伪造验证检查,文件的内容将会被下载,并使用 URL 中的文件名。通过向 `/api/projects/{project_id}/file-uploads?ids=[{download_id}]` 发送请求,可以检索到已下载文件的路径,其中 `{project_id}` 是项目的 ID,`{download_id}` 是已下载文件的 ID。一旦通过上述 API 端点检索到已下载文件的路径,`data_import/api.py` 的 595C1 到 616C62 行演示了响应的 `Content-Type` 是如何根据文件扩展名确定的,因为 `mimetypes.guess_type` 根据文件扩展名猜测 `Content-Type`。由于 `Content-Type` 是根据已下载文件的文件扩展名确定的,攻击者可以导入一个带有 `.html` 文件扩展名的文件,当访问时会执行其中的 JavaScript 代码。 版本 1.10.1 包含此问题的修补程序。也可使用其他修复策略。对于所有由 Label Studio 下载的用户提供的文件,在网站上查看时设置 `Content-Security-Policy: sandbox;` 响应头。`sandbox` 指令限制页面的操作,防止弹出窗口、插件和脚本的执行,并强制执行 `same-origin` 策略。或者,限制可以下载的文件扩展名。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论