CVE-2023-47116 in label-studio
Riassunto
di VulDB • 21/06/2026
Label Studio è un popolare strumento open source per l'etichettatura dei dati. La vulnerabilità interessa tutte le versioni di Label Studio precedenti alla 1.11.0 ed è stata testata sulla versione 1.8.2. Le protezioni SSRF (Server-Side Request Forgery) di Label Studio, attivabili impostando la variabile d'ambiente `SSRF_PROTECTION_ENABLED`, possono essere aggirate per accedere a server web interni. Ciò avviene perché l'attuale convalida SSRF viene eseguita effettuando una singola risoluzione DNS per verificare che l'indirizzo IP non rientri in un intervallo di subnet escluso. Questa protezione può essere bypassata utilizzando il reindirizzamento HTTP o eseguendo un attacco di DNS rebinding.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.