Label Studio - это инструмент для разметки данных с открытым исходным кодом. Во всех текущих версиях Label Studio до 1.9.2post0 приложение позволяет пользователям небезопасно устанавливать фильтры для фильтрации задач. Злоумышленник может построить цепочку фильтров для фильтрации задач на основе конфиденциальных полей для всех учетных записей пользователей на платформе, используя Object Relational Mapper (ORM) Django. Поскольку результаты запроса могут быть изменены фильтром ORM, злоумышленник может раскрыть эти конфиденциальные поля символ за символом. Кроме того, Label Studio имела жестко закодированный секретный ключ, который злоумышленник может использовать для подделки токена сеанса любого пользователя, используя эту уязвимость утечки ORM для утечки хэшей паролей учетной записи. Эта уязвимость была устранена в коммите f931d9d129, который включен в выпуск 1.9.2post0. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой уязвимости.