【漏洞预警】开源数据标注平台 Label Studio 曝出 SSRF 漏洞

2022-06-23 598 阅读1分钟

OSCS(开源软件供应链安全社区)致力于让每一个开源项目变的更安全，也帮助每一个开发者更安全的使用开源代码。

漏洞详情

6月15日，OSCS 社区监控到开源数据标注平台 Label Studio 存在 SSRF（服务端请求伪造）漏洞，攻击者可利用该漏洞进行内网扫描甚至访问内部系统数据。目前 Facebook、IBM、Intel 等公司均有使用此开源项目。

漏洞复现：

更多漏洞详细信息可进入 OSCS 社区查看： www.oscs1024.com/hd/MPS-2022…

修复建议

官方暂未发布新版本，但提供了修改补丁，参考链接：https://github.com/heartexlabs/label-studio/commit/eb9198e827e0fdab1e10593c7ea91a56af299e8b
只允许可信用户访问 label-studio 服务，且服务不对公网开放

参考链接

https://github.com/heartexlabs/label-studio/pull/2450/commits/c42b6d0cc6b34abdcb21bf86dd562079d813a9cb
https://github.com/heartexlabs/label-studio/pull/2450

了解更多

使用墨菲安全的 IDE 插件帮您快速检测代码安全

在 Jetbrains IDE 插件市场搜索 murphysec 安装检测插件，一键检测一键修复

社区官网：www.oscs1024.com
相关文档：www.oscs1024.com/docs/oscs/
开源项目：github.com/murphysecur…