关键漏洞信息 漏洞类型 Cross-Site Scripting (Reflected) via the parameter. 影响版本 受影响版本: =1.18.0 严重性 CVSS v4 基础评分: 7.6/10 CVE ID: CVE-2025-47783 漏洞描述 摘要: 攻击者可以通过注入恶意脚本到网页上下文中,导致数据窃取、未经授权的操作等。 详细信息: 当发送格式正确的请求到 端点时可复现。漏洞位于 文件的第57行。 PoC (概念验证) HTTP 请求: HTML 页面: 影响 恶意代码执行: 用户可能被迫在其Label Studio账户中执行不想要的操作,包括访问 。但注意,Label Studio会话cookie标记为Http-only,减轻了会话劫持的可能性。